Summer of Pwnage , голландская общественная программа для всех, кто интересуется безопасностью программного обеспечения, фокусируется на WordPress для своего текущего мероприятия по поиску ошибок безопасности с открытым исходным кодом. В рамках программы сообщества по выходным проводятся встречи и семинары, на которых любой, от «энтузиастов-новичков до 1337 лучших хакеров», может поделиться находками и продемонстрировать навыки и подвиги.
Цель мероприятия сообщества — внести свой вклад в безопасность широко используемых проектов программного обеспечения с открытым исходным кодом, и участникам настоятельно рекомендуется ответственно раскрывать уязвимости авторам исходного кода. WordPress и его тысячи плагинов являются целью этого месяца, который организаторы называют «раем для охотников за ошибками».
Находки Summer of Pwnage за июль 2016 года включают в себя десятки уязвимостей, обнаруженных в популярных плагинах WordPress. На данный момент авторы плагина исправили 18 уязвимостей, еще более 40 находятся на стадии отчетности.
На этой неделе Ninja Forms, у которой более 600 000 активных установок, выпустила выпуск безопасности , в котором устранены многочисленные уязвимости межсайтового скриптинга (XSS), обнаруженные участниками Summer of Pwnage. Охотники за ошибками также обнаружили уязвимость XSS в WooCommerce (активна при более чем миллионе установок), которая впоследствии была исправлена .
Благодаря усилиям программы обновления безопасности также доступны для других популярных плагинов, включая Paid Memberships Pro, WP Fastest Cache, Easy Forms для MailChimp и другие. Список обнаруженных уязвимостей включает ссылки для описания каждой из них и часто обновляется, поскольку авторы плагинов WordPress выпускают исправления для своих плагинов.
Summer of Pwnage размещается в Securify , компании, занимающейся безопасностью программного обеспечения. Организаторы предоставляют пользователям виртуальные машины и освобождают их от охоты за ошибками. Основное внимание на мероприятии уделяется обмену знаниями и обучению других, и до сих пор оно было очень полезным для сообщества WordPress.
С учетом того, что уязвимостей плагинов WordPress так много, даже в лучших плагинах, поддерживаемых профессионалами, было бы здорово увидеть нишевую конференцию или виртуальное мероприятие, посвященное безопасности, с днем участника. WordPress нуждается в большем количестве хранителей, разбросанных по всему сообществу, которые могут специализироваться на такой помощи. Образовательные мероприятия, такие как Summer of Pwnage, демонстрируют, насколько успешными могут быть такого рода мероприятия для поиска серьезных уязвимостей в программном обеспечении, которое миллионы людей используют каждый день.
