Martes, 4 de mayo del 2010
Publicación cruzada del blog sobre seguridad online de Google
Nos hemos propuesto que los usuarios de Google conozcan las amenazas a las que se enfrentan nuestros servicios y aprendan a protegerse contra ellas. Para ello, nos servimos de sesiones de formación sobre seguridad para nuevos ingenieros, presentaciones técnicas sobre seguridad y otros tipos de documentación. También utilizamos codelabs; tutoriales de programación interactivos que muestran a los participantes cómo realizar tareas de programación específicas.
Uno de ellos, en concreto, enseña a los desarrolladores los tipos más frecuentes de vulnerabilidades de las aplicaciones web. Este codelab, basado en la idea de que se necesita un hacker para atrapar a otro, muestra también cómo podría un atacante sacar partido de estos puntos débiles.
Hoy publicaremos este codelab, titulado "Amenazas y defensas de las aplicaciones web" en colaboración con Google Code University y Google Labs para ayudar a los desarrolladores de software a reconocer, solucionar y evitar problemas similares en sus propias aplicaciones. El codelab se ha desarrollado en Gruyere, una aplicación de microblogs pequeña pero completa, diseñada para contener muchos errores de seguridad. Entre las vulnerabilidades cubiertas, se incluyen el cross-site scripting (XSS), la falsificación de solicitudes entre sitios (XSRF) y la inclusión de cross-site script (XSSI), así como la manipulación del estado del cliente, el acceso no autorizado a directorios y vulnerabilidades de AJAX y de configuración. El codelab también muestra cómo algunos errores aparentemente sin importancia pueden dar lugar a la revelación de información, la denegación de servicio y la ejecución remota de código.
El dicho de "cuatro ojos ven más que dos" solo resultará útil si se sabe qué hay que buscar exactamente. En este sentido, los errores de seguridad de Gruyere son reales, como los que se producen en otras aplicaciones. El código fuente de Gruyere está publicado con una licencia Creative Commons y está disponible para usarse en ejercicios de hacking de caja blanca o en clases de informática que abordan la seguridad, la ingeniería de software o el desarrollo de software en general.
Para empezar, visita https://google-gruyere.appspot.com/. Ya está disponible una guía del instructor para el uso del codelab en Google Code University.