Tutorial de Google permite a desarrolladores jugar de hackers maliciosos: "Google ha publicado un tutorial que le da la posibilidad a los desarrolladores de jugar el papel de hacker malicioso explotando fallas de seguridad reales en una aplicación web simulada.
El codelab está pensado de antemano en una 'aplicación web pequeña y barata' apodada Jarlsberg, que está llena de fallas que pueden ser explotadas para derribar servidores web, realizar ataques de ejecución remota de código, y hacer brotar fugas de información. Se puede descargar y ejecutar en una máquina local para enseñarle de primera mano a los desarrolladores los peligros de la codificación insegura.
El codelab de Google 'Explotación y Defensas de Aplicaciones Web' puede ser utilizado en una configuración de caja negra, en la cual los hackers no están en conocimiento del código fuente de la aplicación que están atacando, o una configuración de caja blanca, en la cual si lo conocen. Jarlsberg está escrito en Python, aunque los hackers, por supuesto, no necesitan ser versados en ese lenguaje para poder hacer picadillo a la aplicación.
El tutorial está diseñado para darle a los desarrolladores - y a cualquier otro - experiencia concreta en la búsqueda y reparación de fallas de seguridad en una aplicación web típica. Está repartido en distintas clases de vulnerabilidades tales como XSS, o cross site-scripting; CSRF, o cross-site request forgeries; y path traversal. Se enseña a los estudiantes no solo como identificar vulnerabilidades específicas sino también como explotarlas para llevar a cabo cierto tipo de ataques.
El código está disponible aquí, y un PDF con la guía del instructor está aquí.
Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: The Register
The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course. Questions test knowledge, terminology, and basic concepts about information systems as well as the application of that knowledge. The examination does not emphasize the details of hardware design and language-specific programming techniques.
Subscribe to:
Post Comments (Atom)
Blog Archive
-
►
2009
(165)
- ► February 2009 (1)
- ► March 2009 (24)
- ► April 2009 (45)
-
▼
2010
(716)
- ► February 2010 (39)
- ► March 2010 (41)
- ► April 2010 (100)
-
▼
May 2010
(151)
-
▼
May 06
(7)
- Introducción a la esteganografía (III)
- Tutorial de Google permite a desarrolladores jugar...
- Pagar con tarjeta Visa desde el iPhone
- Los límites de Twitter
- Un distribuidor muestra un desconocido HDD de 900 ...
- ClearWire afirma que Samsung y HTC fabricarán nuev...
- Kits para crackear claves Wi-Fi vendidos en China ...
-
▼
May 06
(7)
- ► August 2010 (106)
- ► September 2010 (31)
-
►
2011
(15)
- ► March 2011 (1)
-
►
2017
(28)
- ► September 2017 (1)
-
►
2019
(2)
- ► April 2019 (1)
- ► December 2019 (1)
No comments:
Post a Comment