In meinem letzten Post habe ich ja PHP gebasht. Zu Recht. Denn es gibt mal wieder eine winzige Sicherheitslücke in PHP. Ok. Ich untertreibe. Es ist ein Loch. Ein Krater. Es untergräbt jegliche Sicherheit. Wenn man PHP als CGI laufen lässt (und drauf kommen tatsächlich einige Schwachköpfe, wie Sony), werden Befehle von der URL an die Commandline übergeben. Dort gibt es zum Beispiel den Parameter -s der dafür sorgt, dass der Quellcode nicht ausgeführt wird, sondern hübsch farbig dargestellt ausgegeben wird. Das ist der gängige Test für den Bug. Auch wenn Facebook eine ganz andere Architektur einsetzt, werkelt im Hintergrund doch PHP. Ein Test liefert folgenden Code:


<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';

Was nichts anderes wäre, als ein Jobangebot. Nett.