El codelab está pensado de antemano en una 'aplicación web pequeña y barata' apodada Jarlsberg, que está llena de fallas que pueden ser explotadas para derribar servidores web, realizar ataques de ejecución remota de código, y hacer brotar fugas de información. Se puede descargar y ejecutar en una máquina local para enseñarle de primera mano a los desarrolladores los peligros de la codificación insegura.
El codelab de Google 'Explotación y Defensas de Aplicaciones Web' puede ser utilizado en una configuración de caja negra, en la cual los hackers no están en conocimiento del código fuente de la aplicación que están atacando, o una configuración de caja blanca, en la cual si lo conocen. Jarlsberg está escrito en Python, aunque los hackers, por supuesto, no necesitan ser versados en ese lenguaje para poder hacer picadillo a la aplicación.
El tutorial está diseñado para darle a los desarrolladores - y a cualquier otro - experiencia concreta en la búsqueda y reparación de fallas de seguridad en una aplicación web típica. Está repartido en distintas clases de vulnerabilidades tales como XSS, o cross site-scripting; CSRF, o cross-site request forgeries; y path traversal. Se enseña a los estudiantes no solo como identificar vulnerabilidades específicas sino también como explotarlas para llevar a cabo cierto tipo de ataques.
El código está disponible aquí, y un PDF con la guía del instructor está aquí.
Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: The Register
No comments:
Post a Comment