Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Thursday, May 6, 2010

Tutorial de Google permite a desarrolladores jugar de hackers maliciosos

Tutorial de Google permite a desarrolladores jugar de hackers maliciosos: "Google ha publicado un tutorial que le da la posibilidad a los desarrolladores de jugar el papel de hacker malicioso explotando fallas de seguridad reales en una aplicación web simulada.

El codelab está pensado de antemano en una 'aplicación web pequeña y barata' apodada Jarlsberg, que está llena de fallas que pueden ser explotadas para derribar servidores web, realizar ataques de ejecución remota de código, y hacer brotar fugas de información. Se puede descargar y ejecutar en una máquina local para enseñarle de primera mano a los desarrolladores los peligros de la codificación insegura.

El codelab de Google 'Explotación y Defensas de Aplicaciones Web' puede ser utilizado en una configuración de caja negra, en la cual los hackers no están en conocimiento del código fuente de la aplicación que están atacando, o una configuración de caja blanca, en la cual si lo conocen. Jarlsberg está escrito en Python, aunque los hackers, por supuesto, no necesitan ser versados en ese lenguaje para poder hacer picadillo a la aplicación.

El tutorial está diseñado para darle a los desarrolladores - y a cualquier otro - experiencia concreta en la búsqueda y reparación de fallas de seguridad en una aplicación web típica. Está repartido en distintas clases de vulnerabilidades tales como XSS, o cross site-scripting; CSRF, o cross-site request forgeries; y path traversal. Se enseña a los estudiantes no solo como identificar vulnerabilidades específicas sino también como explotarlas para llevar a cabo cierto tipo de ataques.

El código está disponible aquí, y un PDF con la guía del instructor está aquí.

Traducción: Raúl Batista - Segu-Info

Autor: Dan Goodin

Fuente: The Register

No comments:

Blog Archive

Quilts

Where am I?