Selasa, 4 Mei 2010
Postingan silang di Blog Keamanan Online Google
Kami ingin Googler memiliki pemahaman yang kuat tentang ancaman yang dihadapi layanan kami, serta cara membantu melindungi dari ancaman tersebut. Kami berupaya mencapai tujuan ini dengan berbagai cara, termasuk pelatihan keamanan bagi engineer baru, presentasi teknis tentang keamanan, dan jenis dokumentasi lainnya. Kami juga menggunakan codelab—tutorial pemrograman interaktif yang memandu peserta menyelesaikan tugas pemrograman tertentu.
Ada satu codelab yang secara khusus mengajarkan developer tentang jenis kerentanan aplikasi web yang umum. Dengan pemikiran bahwa "lawan peretas dengan peretas", codelab juga menunjukkan bagaimana penyerang dapat mengeksploitasi kerentanan tersebut.
Hari ini, kami merilis codelab yang berjudul "Eksploitasi dan Pertahanan Aplikasi Web" yang merupakan hasil kolaborasi dengan Google Code University dan Google Labs untuk membantu developer software mengenali, memperbaiki, dan menghindari kekurangan serupa di aplikasi mereka sendiri dengan lebih baik. Codelab dibuat berdasarkan Gruyere, yaitu aplikasi mikroblog kecil dengan fitur lengkap yang didesain untuk menampung banyak bug keamanan. Kerentanan yang dibahas oleh lab ini mencakup pembuatan skrip lintas situs (XSS), pemalsuan permintaan lintas situs (XSRF), dan penyertaan skrip lintas situs (XSSI), serta manipulasi status klien, traversal jalur, serta kerentanan konfigurasi dan AJAX. Laporan ini juga menunjukkan bagaimana bug sederhana dapat menyebabkan pengungkapan informasi, denial of service, dan eksekusi kode jarak jauh.
Peribahasa yang berbunyi, "semakin banyak mata yang mencari, semakin mudah bug ditemukan" hanya berlaku jika pencari mengetahui apa yang dicari. Selain itu, bug keamanan di Gruyere adalah bug sungguhan, sama seperti bug yang ada di banyak aplikasi lainnya. Kode sumber Gruyere dipublikasikan dengan lisensi Creative Commons dan tersedia untuk digunakan dalam latihan peretasan whitebox atau dalam kelas ilmu komputer yang membahas keamanan, software engineering, atau pengembangan software umum.
Untuk memulai, buka https://google-gruyere.appspot.com/. Panduan instruktur untuk menggunakan codelab kini tersedia di Google Code University.