Thứ Ba, ngày 4 tháng 5 năm 2010
Đăng chéo trên Blog về bảo mật trực tuyến của Google
Chúng tôi muốn nhân viên của Google hiểu rõ các mối đe doạ mà dịch vụ của chúng tôi phải đối mặt cũng như cách bảo vệ trước những mối đe doạ đó. Chúng tôi nỗ lực hướng tới các mục tiêu này theo nhiều cách, bao gồm đưa ra khoá học về bảo mật cho kỹ sư mới, cung cấp bài thuyết trình kỹ thuật về bảo mật và các loại tài liệu khác. Chúng tôi cũng sử dụng các lớp học lập trình – hướng dẫn lập trình mang tính tương tác để hướng dẫn người tham gia cách thực hiện các nhiệm vụ lập trình cụ thể.
Cụ thể, có một lớp học lập trình hướng dẫn nhà phát triển về các loại lỗ hổng bảo mật phổ biến trên ứng dụng web. Dựa trên ý tưởng "cần có tin tặc để ngăn tin tặc", lớp học lập trình cũng chỉ ra cách kẻ tấn công có thể lợi dụng những lỗ hổng như vậy.
Hôm nay, chúng tôi xin ra mắt lớp học lập trình với tên gọi "Khai thác và bảo vệ ứng dụng web". Đây là sự phối hợp giữa Đại học Google Code và Google Labs để giúp các nhà phát triển phần mềm nâng cao khả năng nhận ra, khắc phục và tránh các lỗi tương tự trong các ứng dụng của họ. Lớp học lập trình này được xây dựng xoay quanh Gruyere, một ứng dụng tiểu blog nhưng có đầy đủ tính năng và được thiết kế để mang nhiều lỗi bảo mật. Lớp học lập trình này nói về các lỗ hổng như kịch bản chéo trang (XSS), giả mạo yêu cầu trên nhiều trang web (XSRF) và đưa vào kịch bản chéo trang (XSSI), cũng như thao túng trạng thái máy khách, Path Traversal và các lỗ hổng cấu hình và AJAX. Lớp học này cũng cho thấy các lỗi đơn giản có thể dẫn đến việc tiết lộ thông tin, từ chối dịch vụ và thực thi mã từ xa.
Châm ngôn "có đủ con mắt thì lỗi nào cũng bắt được" chỉ đúng nếu con mắt biết rõ mình cần tìm thứ gì. Để hiện thực hoá điều đó, các lỗi bảo mật trong Gruyere đều là những lỗi có thật — giống như các lỗi trong nhiều ứng dụng khác. Mã nguồn Gruyere được xuất bản theo giấy phép Creative Commons và có thể sử dụng trong các bài tập tấn công hộp trắng hoặc trong các lớp khoa học máy tính về bảo mật, kỹ thuật phần mềm hoặc phát triển phần mềm nói chung.
Để bắt đầu, hãy truy cập https://google-gruyere.appspot.com/. Nay bạn có thể xem hướng dẫn sử dụng lớp học lập trình trên Đại học Google Code.