Google은 Google 직원들이 Google 서비스가 어떤 위협에 직면하고 있으며 이러한 위협으로부터 서비스를 어떻게 보호할 수 있는지 확실히 이해하기 바라며, 새로운 엔지니어를 대상으로 한 보안 교육, 보안 관련 기술 프레젠테이션, 기타 유형의 문서 등 다양한 방식으로 이러한 목표를 달성하기 위해 노력하고 있습니다. 또한 특정 프로그래밍 작업에 관해 안내하는 대화형 프로그래밍 튜토리얼인 Codelab도 사용합니다.
개발자에게 일반적인 유형의 웹 애플리케이션 취약점을 설명하는 Codelab도 있습니다. Codelab은 '해커를 잡는 것은 해커'라는 생각에 따라 공격자가 이러한 취약점을 어떻게 활용할 수 있는지 보여줍니다.
Google에서는 오늘 Google 코드 대학 및 Google 실험실과 함께 '웹 애플리케이션 오남용 및 방어'라는 제목의 Codelab을 출시했으며, 이를 통해 소프트웨어 개발자가 자체 애플리케이션에 있는 유사한 결함을 더 잘 인식, 수정, 예방할 수 있도록 지원합니다. 이 Codelab은 많은 보안 버그를 포함하도록 설계되어 있으며 작지만 모든 기능을 갖춘 마이크로블로깅 애플리케이션인 Gruyesre를 기반으로 합니다. 실습에서 다루는 취약점에는 교차 사이트 스크립팅(XSS), 교차 사이트 요청 위조(XSRF), 교차 사이트 스크립트 포함(XSSI)은 물론, 클라이언트 상태 조작, 경로 순회, AJAX 및 구성 취약점 등이 포함되어 있습니다. 또한 간단한 버그가 어떻게 정보 공개, 서비스 거부, 원격 코드 실행을 야기할 수 있는지도 보여줍니다.
'보는 눈이 많으면 어떤 버그라도 금세 찾을 수 있다'라는 격언이 있지만, 이는 무엇을 찾아야 하는지 제대로 알고 있을 경우에만 맞는 말입니다. 그렇기 때문에 Gruyere에 포함된 보안 버그는 다른 많은 애플리케이션의 버그와 마찬가지로 실제 버그입니다. Gruyere 소스 코드는 크리에이티브 커먼즈 라이선스에 따라 게시되며 화이트박스 해킹 연습이나 보안, 소프트웨어 엔지니어링, 일반 소프트웨어 개발을 다루는 컴퓨터 공학 수업에서 사용할 수 있습니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["필요한 정보가 없음","missingTheInformationINeed","thumb-down"],["너무 복잡함/단계 수가 너무 많음","tooComplicatedTooManySteps","thumb-down"],["오래됨","outOfDate","thumb-down"],["번역 문제","translationIssue","thumb-down"],["샘플/코드 문제","samplesCodeIssue","thumb-down"],["기타","otherDown","thumb-down"]],[],[[["This blog post introduces a codelab, \"Web Application Exploits and Defenses,\" designed to teach developers about common web application vulnerabilities."],["The codelab utilizes Gruyere, a microblogging application intentionally built with security flaws, to demonstrate real-world vulnerabilities."],["Gruyere's source code is publicly available under a Creative Commons license for use in security training and educational settings."],["The codelab covers a range of vulnerabilities including XSS, XSRF, XSSI, client-state manipulation, and more, showcasing their potential impact."],["Developers can access the codelab and its instructor's guide through the provided links to enhance their understanding of web application security."]]],["A codelab, now named Gruyere, was released to teach developers about web application vulnerabilities. It demonstrates how attackers exploit flaws like cross-site scripting (XSS), request forgery (XSRF), and script inclusion (XSSI), alongside others. The codelab uses a microblogging application filled with security bugs. Gruyere's source code is openly available for security exercises. Developers can access it at the provided link, and an instructor's guide is also provided on the Google Code University website.\n"]]
