Martes, 4 de mayo de 2010
Publicación cruzada en el Blog de seguridad en línea de Google
Queremos que los Googlers tengan un conocimiento claro de las amenazas a las que se enfrentan nuestros servicios y de cómo ayudar a protegerlos. Trabajamos para lograr estos objetivos de varias maneras: brindamos capacitación en seguridad para nuevos ingenieros, realizamos presentaciones técnicas sobre seguridad y desarrollamos otros tipos de documentación. También usamos codelabs, instructivos de programación interactivos que guían a los participantes a través de tareas de programación específicas.
En particular, un codelab les enseña a los desarrolladores sobre los tipos comunes de vulnerabilidades de las aplicaciones web. Con el concepto de que "necesitas ser un hacker para atrapar a un hacker", el codelab también demuestra cómo un atacante podría explotar esas vulnerabilidades.
Hoy, lanzaremos este codelab, titulado "Explotaciones y defensas de aplicaciones web", en coordinación con Google Code University y Google Labs para ayudar a los desarrolladores de software a reconocer, corregir y evitar fallas similares en sus propias aplicaciones. El codelab se basa en Gruyere, una aplicación de microblog pequeña, pero bien equipada, diseñada para contener muchos errores de seguridad. Las vulnerabilidades que se abordan en el lab incluyen la secuencia de comandos entre sitios (XSS), la falsificación de solicitudes entre sitios (XSRF) y la inclusión de secuencias de comandos entre sitios (XSSI), además de la manipulación del estado del cliente, el recorrido de las rutas y AJAX y vulnerabilidades de configuración. También se muestra cómo los errores simples pueden provocar la divulgación de información, la denegación del servicio y la ejecución remota de código.
La máxima, "Dado un número suficientemente elevado de ojos, todos los errores se vuelven obvios" solo es verdadera si los ojos saben qué buscar. Con ese fin, los errores de seguridad en Gruyere son reales, como los de muchas otras aplicaciones. El código fuente de Gruyere se publica bajo una licencia Creative Commons y está disponible para su uso en ejercicios de piratería en caja blanca o en clases de informática que abarcan seguridad, ingeniería de software o desarrollo de software en general.
Para comenzar, visita https://google-gruyere.appspot.com/. Ahora hay disponible una guía del instructor para usar el codelab en Google University Code.