知己知彼

2010 年 5 月 4 日,星期二

同步發布在 Google 線上安全性網誌

我們希望 Google 員工可以充分瞭解 Google 服務面臨的威脅,以及如何協助防範這些威脅。我們透過各種方式達成這些目標,包括對新進工程師進行安全性訓練、製作安全性相關技術簡報,以及其他類型的說明文件。此外,我們也會使用程式碼研究室,這是互動式的程式設計教學課程,可以引導參與者完成特定程式設計工作。

我們有一個程式碼研究室,特別用來教導開發人員有關網頁應用程式安全漏洞常見類型相關事項。本著「駭客才能抓到駭客」的思維,程式碼研究室也展示攻擊者如何利用這類的安全漏洞來達成其目的。

今天,我們與 Google Code 大學Google 研究室聯合推出名為「Web Application Exploits and Defenses」的程式碼研究室,目的是協助軟體開發人員在自己的應用程式中更準確地辨識、修正及避免類似的漏洞。程式碼研究室是以 Gruyere 為基礎所建立,這是一項小型但功能齊全的微網誌應用程式,其中包含了許多安全性錯誤。程式碼研究室所涵蓋的安全漏洞包括跨網站指令碼攻擊 (XSS)、跨網站偽造要求 (XSRF)、跨網站指令碼置入 (XSSI),以及用戶端狀態操控、路徑周遊和 AJAX 和設定安全漏洞。另外,程式碼研究室也會說明簡單的錯誤如何導致資訊外洩、阻斷服務以及遠端程式碼執行。

「只要有足夠多的眼睛,就可以讓所有的錯誤浮現」這句格言,只有在眼睛知道要尋找的目標為何時才成立。因此,Gruyere 中的安全性錯誤是貨真價實的錯誤,就像許多其他應用程式中的錯誤一樣。Gruyere 原始碼是依據創用 CC 授權所發布,可用於白箱入侵行為練習,或是用在涵蓋安全性、軟體工程或一般軟體開發的電腦科學課程中。

如要開始使用,請前往 https://google-gruyere.appspot.com/Google Code 大學現在提供老師適用的程式碼研究室使用指南。