Google search code - La cerise sur le gâteau des pirates
Publi� le 9 octobre 2006

Google vient de sortir un service, très utile aux développeurs d'applications web. C'est un moteur capable de rechercher dans le code source des programmes. L'avantage par rapport à d'autres solutions, c'est qu'on peut utiliser les expressions régulières que tout informaticien devrait maîtriser.

Voici comment se présente la page d'accueil.

(PNG)

Dessous on voit certaines expressions régulières :

Et voici la page de recherche avancée qui offre des options de recherche.

(PNG)

En fonction du langage :

-  Ada
-  ASP
-  Assembly
-  Basic
-  C
-  C++
-  C#
-  Eiffel
-  Erlang
-  Fortran
-  Java
-  JavaScript
-  JSP
-  Lex
-  Limbo
-  Lisp
-  Lua
-  Makefile
-  Mathematica
-  Matlab
-  Objective C
-  Perl
-  PHP
-  PostScript
-  Python
-  Ruby
-  Scheme
-  Shell
-  Smalltalk
-  SQL
-  Tcl
-  Troff
-  Yacc

Ou de la licence :

-  Aladdin Public License
-  Artistic License
-  Apache License
-  Apple Public Source License
-  BSD License
-  Common Public License
-  GNU General Public License
-  GNU Lesser General Public License
-  Historical Permission Notice and Disclaimer
-  IBM Public License
-  Lucent Public License
-  MIT License
-  Mozilla Public License
-  NASA Open Source Agreement
-  Python Software Foundation License
-  Q Public License
-  Sleepycat License
-  Zope Public License

Tout çà a l'air bien sympathique mais il y a un problème. Grâce aux expressions régulières, les hackers vont pouvoir chercher certaines failles dans le code, comme les XSS par exemple. Mais cela peut servir aussi aux développeurs à trouver plus rapidement les failles de leur logiciel.

Exemples de failles dans du code PHP :

-  XSS grâce aux paramètres d'url
-  XSS grâce aux cookies
-  XSS grâce aux variables globales
-  execution de code arbitraire à distance

On peut faire de même pour les injections SQL :

-  injections SQL grâce aux paramètres d'url
-  etc.

On en trouve aussi pour JAVA sur le site de Chris Shiflett.

A noter que certains éditeurs de texte avancés comme [ !EditPlus] permettaient déjà de faire cela. Donc, les hackers n'ont pas vraiment besoin de cet outil. L'avantage est qu'ils n'auront plus rien à installer !