الثلاثاء 4 أيار (مايو) 2010
مشاركة تم نشرها بشكل مشترَك على مدونة Google Online Security
نريد تحسين مدى فهم موظفي Google للتهديدات التي تواجهها خدماتنا، بالإضافة إلى تعريفهم بكيفية المساعدة في الحماية من تلك التهديدات. نعمل على تحقيق هذه الأهداف بعدة طرق، بما في ذلك التدريب على الأمان للمهندسين الجدد والعروض التقديمية الفنية حول الأمان وأنواع أخرى من المستندات. نستخدم أيضًا دروسًا تطبيقية حول الترميز، وهي عبارة عن دروس برمجة تفاعلية تعرّف المشاركين بمهام برمجة محددة.
يستهدف أحد هذه الدروس التطبيقية بشكل خاص المطورين لتعريفهم بالأنواع الشائعة من نقاط الضعف في تطبيقات الويب. وانطلاقًا من المبدأ التالي: "لا يكشف أمر المخترق سوى مخترق مثله"، يوضّح الدرس التطبيقي حول الترميز أيضًا كيف يمكن للمهاجم استغلال نقاط الضعف هذه.
يسعدنا اليوم بالتنسيق مع كل من Google Code University وGoogle Labs أن نطرح هذا الدرس التطبيقي بعنوان "عمليات استغلال تطبيقات الويب وعمليات الدفاع" لمساعدة مطوري البرامج في التعرّف بشكل أفضل على الثغرات المماثلة في تطبيقاتهم وإصلاحها وتجنُّبها. تم تصميم الدرس التطبيقي حول الترميز بالاعتماد على تطبيق Gruyere، وهو تطبيق لإعداد مدونات قصيرة، ولكنّه كامل الميزات يتناول طريقة لعلاج الكثير من أخطاء الأمان. تشمل نقاط الضعف التي تتناولها الميزة الاختبارية مسألة البرمجة النصية على مستوى المواقع الإلكترونية (XSS)، وتزوير الطلبات من مواقع إلكترونية مختلفة (XSRF) وإدراج البرنامج النصي على مواقع إلكترونية مختلفة (XSSI)، بالإضافة إلى نقاط الضعف التي تسمح بالتلاعب بحالة العميل واجتياز المسار ونظام زحف AJAX والإعدادات. علاوةً على ذلك، تتناول الميزة الاختبارية كيفية تسبُّب الأخطاء البسيطة في الإفصاح عن المعلومات ورفض الخدمة وتنفيذ الرموز البرمجية عن بُعد.
لا يمكن اعتبار المقولة "كثرة المبرمجين تغلب دهاء المخترقين" صحيحةً، إلا إذا كان هؤلاء المبرمجون يدركون مهمتهم جيدًا. لتحقيق هذا الهدف، فإنّ أخطاء الأمان في Gruyere هي أخطاء حقيقية، تمامًا مثل تلك الموجودة في العديد من التطبيقات الأخرى. يتم نشر رمز مصدر Gruyere بموجب رخصة المشاع الإبداعي ويتوفّر للاستخدام في تمارين "الاختراق الأخلاقي" أو في صفوف علوم الكمبيوتر التي تتناول مواضيع الأمان أو هندسة البرمجيات أو تطوير البرامج بصفة عامة.
للبدء، يمكنك الانتقال إلى https://google-gruyere.appspot.com/. دليل المعلّم لاستخدام الدرس التطبيقي حول الترميز متاح الآن على Google Code University.