รู้จักและเข้าใจภัยคุกคามเว็บไซต์

วันอังคารที่ 4 พฤษภาคม 2010

การโพสต์ข้ามผลิตภัณฑ์ในบล็อกการรักษาความปลอดภัยออนไลน์ของ Google

เราอยากให้ Googler เข้าใจอย่างแจ่มชัดถึงภัยคุกคามที่บริการต่างๆ ของเราเผชิญอยู่ และรู้วิธีช่วยป้องกันภัยคุกคามเหล่านั้น เราทํางานเพื่อให้บรรลุเป้าหมายเหล่านี้ได้หลายวิธี เช่น การฝึกอบรมด้านความปลอดภัยสําหรับวิศวกรใหม่ งานนําเสนอทางเทคนิคเกี่ยวกับความปลอดภัย และเอกสารประเภทอื่นๆ นอกจากนี้ เรายังใช้ Codelab ซึ่งเป็นบทแนะนําการเขียนโปรแกรมแบบอินเทอร์แอกทีฟที่ช่วยชี้แนะผู้เข้าร่วมเกี่ยวกับงานด้านโปรแกรมที่เจาะจง

โดยเฉพาะอย่างยิ่ง Codelab ที่สอนนักพัฒนาซอฟต์แวร์เกี่ยวกับช่องโหว่ที่พบบ่อยของเว็บแอปพลิเคชัน เรามีความคิดว่า "ต้องใช้แฮ็กเกอร์เพื่อจับแฮ็กเกอร์" และ Codelab ยังแสดงให้เห็นว่าผู้โจมตีจะใช้ประโยชน์จากช่องโหว่เหล่านั้นได้อย่างไร

วันนี้เราได้เปิดตัว Codelab ที่มีชื่อว่า "กWeb Application Exploits and Defenses" ร่วมกับGoogle Code University และ Google Labs เพื่อช่วยให้นักพัฒนาซอฟต์แวร์รู้จัก แก้ไข และหลีกเลี่ยงข้อบกพร่องที่คล้ายกันในแอปพลิเคชันของตน Codelab สร้างขึ้นจาก Gruyere ซึ่งเป็นแอปพลิเคชันไมโครบล็อกขนาดเล็กแต่เต็มรูปแบบ ออกแบบมาเพื่อให้มีข้อบกพร่องด้านความปลอดภัยมากมาย ช่องโหว่ต่างๆ ที่มีได้แก่ Cross-site Scripting (XSS), การปลอมแปลง Cross-site Request (XSRF) และการรวม Cross-site Scripting (XSSI) รวมถึงการบิดเบือน Client-state, Path Traversal และ AJAX และช่องโหว่ในการกำหนดค่าต่างๆ นอกจากนี้ยังแสดงว่าข้อบกพร่องง่ายๆ สามารถนำไปสู่การเปิดเผยข้อมูล การปฏิเสธการให้บริการ และการดําเนินการโค้ดจากระยะไกลได้อย่างไร

หลักการที่ว่า "ถ้ามีหลายตาช่วยกันดู เดี๋ยวก็ต้องเจอข้อบกพร่องที่มี" จะเป็นจริงได้ก็ต่อเมื่อดวงตาเหล่านั้นรู้ว่าต้องมองหาสิ่งใด ด้วยเหตุผลนี้ ข้อบกพร่องด้านความปลอดภัยใน Gruyere จึงเป็นข้อบกพร่องจริงเช่นเดียวกับในแอปพลิเคชันอื่นๆ อีกมากมาย ซอร์สโค้ด Gruyere ได้รับการเผยแพร่ภายใต้สัญญาอนุญาตครีเอทีฟคอมมอนส์ (Creative Commons License) และใช้ได้ในแบบฝึกหัดการแฮ็กแบบไวท์บ็อกซ์หรือในชั้นเรียนวิทยาการคอมพิวเตอร์ที่ครอบคลุมการรักษาความปลอดภัย วิศวกรรมซอฟต์แวร์ หรือการพัฒนาซอฟต์แวร์ทั่วไป

หากต้องการเริ่มต้นใช้งาน โปรดไปที่ https://google-gruyere.appspot.com/ คู่มือการใช้ Codelab สำหรับผู้สอนพร้อมใช้งานแล้วใน Google Code University