Wtorek, 4 maja 2010 roku
Post opublikowany na blogu Google o bezpieczeństwie online
Chcemy, aby pracownicy Google dokładnie zrozumieli zagrożenia, z którymi mierzą się nasze usługi, a także dowiedzieli się, jak chronić się przed tymi zagrożeniami. Tew cele osiągamy je na różne sposoby, m.in. prowadząc szkolenia dla nowych inżynierów dotyczące zabezpieczeń oraz prezentacje techniczne dotyczące bezpieczeństwa i opracowując dokumentację. Używamy też ćwiczeń z programowania – interaktywnych samouczków, które pokazują uczestnikom zadania związane z programowaniem.
Jedno z ćwiczeń z programowania zawiera informacje dotyczące częstych typów luk w zabezpieczeniach aplikacji internetowych. Zgodnie z hasłem „hakera przechytrzy tylko drugi haker” ćwiczenia z programowania pokazują, jak haker może wykorzystać te luki w zabezpieczeniach.
Dziś wspólnie z Uniwersytetem kodowania Google i Laboratorium Google publikujemy te ćwiczenia z programowania zatytułowane „Exploity aplikacji internetowych i obrona przed nimi”, aby pomóc deweloperom oprogramowania w skutecznym rozpoznawaniu, unikaniu i rozwiązywaniu podobnych problemów w tworzonych przez nich aplikacjach. Ćwiczenia z programowania oparte są na Gruyere – małej, ale wszechstronnej aplikacji mikroblogowej zaprojektowanej z myślą o wielu błędach zabezpieczeń. Luki w zabezpieczeniach omawiane w ćwiczeniach obejmują ataki typu cross-site scripting (XSS), fałszowanie żądań z innych witryn (XSRF) i ataki typu cross-site script inclusion (XSSI), a także manipulację stanami klienta oraz luki w zabezpieczeniach związane z przemierzaniem ścieżki, AJAX i konfiguracją. Pokazujemy również, jak proste błędy mogą doprowadzić do ujawnienia informacji, ataku typu DoS i wykonania zdalnego kodu.
Maksyma „Wystarczająca liczba przyglądających się oczu sprawia, że wszystkie błędy stają się banalne” jest prawdziwa tylko wtedy, gdy oko wie, czego szukać. W tym celu błędy w Gruyere to prawdziwe błędy – tak jak w wielu innych aplikacjach. Kod źródłowy Gruyere jest dostępny na licencji Creative Commons i można go używać w ćwiczeniach związanych z hakowaniem whitebox lub na zajęciach z informatyki, które dotyczą bezpieczeństwa, inżynierii oprogramowania lub ogólnego programowania.
Aby zacząć z niego korzystać, wejdź na https://google-gruyere.appspot.com/. Przewodnik dla nauczycieli dotyczący korzystania z ćwiczeń z programowania jest już dostępny w Uniwersytecie kodowania Google.