c.m.g
06-05-2010, 10:13
mercoledì 5 maggio 2010
Mountain View mette online un sito pieno di bug. Con l'obiettivo di formare gli sviluppatori. E porre il problema del buon codice sicuro come una priorità, senza che nessuno si faccia male
Roma - L'ultima iniziativa di Google si chiama Jarlsberg (http://jarlsberg.appspot.com/) ed è un laboratorio remoto in cui gli sviluppatori possono imparare come "battere gli hacker al loro stesso gioco". Dietro un brand impronunciabile si nasconde un'applicazione remota ospitata sui server di Mountain View, riempita di bug e possibili exploit che gli aspiranti anti-hacker avranno il compito di riconoscere e sfruttare per superare le maglie del sistema e, di conseguenza, acquisire le competenze necessarie a sviluppare appliance sicure.
Jarlsberg è un tutorial gratuito (http://www.theregister.co.uk/2010/05/05/google_web_app_security_course/) formalmente noto come Web Application Exploits and Defenses, scritto in Python e disponibile sia in forma di black-box (codice chiuso da analizzare e abusare dall'esterno) che white-box (codice sorgente a disposizione del potenziale attaccante).
Le varie classi di vulnerabilità da scovare comprendono bug di tipo cross-site scripting (http://punto-informatico.it/cerca.aspx?s=xss&t=4) (XSS), cross-site request forgery (http://punto-informatico.it/cerca.aspx?s=cross-site+request+forgery&t=4&o=0) (CSRF) e path traversal (http://en.wikipedia.org/wiki/Path_traversal). Il tutorial di (in)sicurezza approntato da Google è pensato per insegnare non solo a identificare particolari vulnerabilità, ma anche a sfruttarle per condurre attacchi specifici.
Jarlsberg è pensato in funzione di un approccio eminentemente white-hat, e il disclaimer del servizio dice chiaramente (http://www.businessinsider.com/google-releases-vulnerable-bug-ridden-microblogging-app-to-show-coders-what-not-to-do-2010-5) che è vietato qualsiasi tentativo di attaccare direttamente l'infrastruttura di App Engine o qualsiasi altro servizio di Google. Garantendo un'autorizzazione specifica ad attaccare Jarlsberg, Mountain View ribadisce che gli sviluppatori dovranno usare quello che avranno imparato dal codelab per rendere la propria applicazione web più sicura, non per attaccare altre applicazioni senza autorizzazione.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/2877425/PI/News/google-insegna-exploit-sicurezza.aspx)
Mountain View mette online un sito pieno di bug. Con l'obiettivo di formare gli sviluppatori. E porre il problema del buon codice sicuro come una priorità, senza che nessuno si faccia male
Roma - L'ultima iniziativa di Google si chiama Jarlsberg (http://jarlsberg.appspot.com/) ed è un laboratorio remoto in cui gli sviluppatori possono imparare come "battere gli hacker al loro stesso gioco". Dietro un brand impronunciabile si nasconde un'applicazione remota ospitata sui server di Mountain View, riempita di bug e possibili exploit che gli aspiranti anti-hacker avranno il compito di riconoscere e sfruttare per superare le maglie del sistema e, di conseguenza, acquisire le competenze necessarie a sviluppare appliance sicure.
Jarlsberg è un tutorial gratuito (http://www.theregister.co.uk/2010/05/05/google_web_app_security_course/) formalmente noto come Web Application Exploits and Defenses, scritto in Python e disponibile sia in forma di black-box (codice chiuso da analizzare e abusare dall'esterno) che white-box (codice sorgente a disposizione del potenziale attaccante).
Le varie classi di vulnerabilità da scovare comprendono bug di tipo cross-site scripting (http://punto-informatico.it/cerca.aspx?s=xss&t=4) (XSS), cross-site request forgery (http://punto-informatico.it/cerca.aspx?s=cross-site+request+forgery&t=4&o=0) (CSRF) e path traversal (http://en.wikipedia.org/wiki/Path_traversal). Il tutorial di (in)sicurezza approntato da Google è pensato per insegnare non solo a identificare particolari vulnerabilità, ma anche a sfruttarle per condurre attacchi specifici.
Jarlsberg è pensato in funzione di un approccio eminentemente white-hat, e il disclaimer del servizio dice chiaramente (http://www.businessinsider.com/google-releases-vulnerable-bug-ridden-microblogging-app-to-show-coders-what-not-to-do-2010-5) che è vietato qualsiasi tentativo di attaccare direttamente l'infrastruttura di App Engine o qualsiasi altro servizio di Google. Garantendo un'autorizzazione specifica ad attaccare Jarlsberg, Mountain View ribadisce che gli sviluppatori dovranno usare quello che avranno imparato dal codelab per rendere la propria applicazione web più sicura, non per attaccare altre applicazioni senza autorizzazione.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/2877425/PI/News/google-insegna-exploit-sicurezza.aspx)