上周末，有消息称，一名黑客利用一种名为SQL注入的普通安全漏洞，攻破了极右翼社交媒体网站Gab，并下载了70g的数据。快速浏览一下Gab的开放源代码就会发现，这个关键的漏洞——或者至少是一个非常类似的漏洞——是由该公司的首席技术官引入的。

快餐排行榜 这个变化，在软件开发中被称为“git commit”，是由Fosco Marotto的账户在2月份做出的，他是前Facebook软件工程师，在11月成为Gab的首席技术官。周一，Gab从其网站上删除了这个git提交。一个提供保存的提交快照的站点上的图像显示了2月份的软件更改。

提交的文件显示，一名软件开发人员使用Fosco Marotto这个名字，这正是可能导致本周末报道的那种漏洞的新手错误。具体来说，第23行去掉了“reject”和“filter”的代码，这是实现了保护SQL注入攻击的编程习惯用法的API函数。

这种习惯用法允许程序员以一种安全的方式编写SQL查询，“消毒”网站访问者在搜索框和其他web字段中输入的输入，以确保在文本传递到后端服务器之前，任何恶意命令都被删除。在它们的邓伦是谁位置上，开发人员添加了一个对Rails函数的调用，该函数包含“find_by_sql”方法，该方法直接教师节送什么花 在查询字符串中接受未经处理的输入。Rails是一个广泛使用的网站开发工具包。

“不幸的是，Rails的文档没有警告你这个陷阱，但是如果你对在web应用程序中使用SQL数据库有任何了解，你应该听说过SQL注入，并且不难发现find_by_sql方法不安全的警告。”让我注意到这一承诺的脸书前生产工程师德米特里·博罗达延科(Dmitry Borodaenko)在一封电子邮件中写道。“现在还不能百分之百确定Gab数据泄露中使用的就是这个漏洞，但它肯定是有可能的，而且在GitLab离线之前，这个代码更改已经在最近的提交中恢复了。”

世界杀毒软件排行榜具有讽刺意味的是，Fosco在2012年警告其他程序员使用参数化查询来防止SQL注入漏洞。马罗托没有回复就本文置评的电子邮件。记者试图直接联系加布，但没有成功。

除了对Gab开发安全代码的过程提出质疑外，这家社交媒体网站还因将提交内容从其网站上删除而面临批评。批评人士说，此举违反了Affero通用公共许可证的条款，该许可证管理Gab对Mastodon的重用，Mastodon是一个用于托管社交网络平台的开源软件包。

批评人士说，删除这些文件违反了要求从网站直接链接分叉源代码的条款。这些要求旨在提供透明性，并允许其他开源开发人员从他们在Gab的同事的工作中受益。

Gab长期以来一直在https://code.gab.com/上提供提交。然后，在周一，该网站突然删除了所有提交，包括那些创建并修复了关键SQL注入漏洞的提交。Gab以Zip压缩文件的形式提供团购网站排行榜了源代码，该文件由密码“JesusChristIsKingTrumpWonTheElection”(去掉引号)保护。

古典吉他入门

乳齿象项目的代表没有立即回复一封电子邮件，询问他们是否认同批评者的担忧。

除了安全编码和许可证遵从问题，Gab git提交也显示出公司开发人员正在努力修复他们脆弱的代码。

Gab的安全漏洞和事件前后代码的幕后处理为开发者提供了一个案例研究，让他们知道如何维护网站的安全性和代码透明度。鉴于这份报告使用了Gab首席技术官(CTO)的账户，这一教训就显得更加重要了。Gab首席技术官本应比所有人都更了解Gab。

林志玲个人简

文具用品清单