2010년 5월 4일 화요일
Google 온라인 보안 블로그에 교차 게시된 게시물입니다
Google은 Google 직원들이 Google 서비스가 어떤 위협에 직면하고 있으며 이러한 위협으로부터 서비스를 어떻게 보호할 수 있는지 확실히 이해하기 바라며, 새로운 엔지니어를 대상으로 한 보안 교육, 보안 관련 기술 프레젠테이션, 기타 유형의 문서 등 다양한 방식으로 이러한 목표를 달성하기 위해 노력하고 있습니다. 또한 특정 프로그래밍 작업에 관해 안내하는 대화형 프로그래밍 튜토리얼인 Codelab도 사용합니다.
개발자에게 일반적인 유형의 웹 애플리케이션 취약점을 설명하는 Codelab도 있습니다. Codelab은 '해커를 잡는 것은 해커'라는 생각에 따라 공격자가 이러한 취약점을 어떻게 활용할 수 있는지 보여줍니다.
Google에서는 오늘 Google 코드 대학 및 Google 실험실과 함께 '웹 애플리케이션 오남용 및 방어'라는 제목의 Codelab을 출시했으며, 이를 통해 소프트웨어 개발자가 자체 애플리케이션에 있는 유사한 결함을 더 잘 인식, 수정, 예방할 수 있도록 지원합니다. 이 Codelab은 많은 보안 버그를 포함하도록 설계되어 있으며 작지만 모든 기능을 갖춘 마이크로블로깅 애플리케이션인 Gruyesre를 기반으로 합니다. 실습에서 다루는 취약점에는 교차 사이트 스크립팅(XSS), 교차 사이트 요청 위조(XSRF), 교차 사이트 스크립트 포함(XSSI)은 물론, 클라이언트 상태 조작, 경로 순회, AJAX 및 구성 취약점 등이 포함되어 있습니다. 또한 간단한 버그가 어떻게 정보 공개, 서비스 거부, 원격 코드 실행을 야기할 수 있는지도 보여줍니다.
'보는 눈이 많으면 어떤 버그라도 금세 찾을 수 있다'라는 격언이 있지만, 이는 무엇을 찾아야 하는지 제대로 알고 있을 경우에만 맞는 말입니다. 그렇기 때문에 Gruyere에 포함된 보안 버그는 다른 많은 애플리케이션의 버그와 마찬가지로 실제 버그입니다. Gruyere 소스 코드는 크리에이티브 커먼즈 라이선스에 따라 게시되며 화이트박스 해킹 연습이나 보안, 소프트웨어 엔지니어링, 일반 소프트웨어 개발을 다루는 컴퓨터 공학 수업에서 사용할 수 있습니다.
Gruyere를 사용해 보려면 http://google-gruyere.appspot.com/을 방문하세요. Codelab 사용을 위한 강사 가이드는 이제 Google 코드 대학에서 확인할 수 있습니다.