2020 年 5 月 4 日,星期二
已在 Google 在线安全博客上交叉发布
我们希望 Google 员工能够明确了解我们的服务面临的威胁,以及如何帮助防范这些威胁。我们通过多种方式努力实现这些目标,包括为新工程师提供安全培训、关于安全性的技术演示文稿和其他类型的文档。我们还使用 Codelab 作为互动编程教程,引导参与者完成具体的编程任务。
具体而言,一个 Codelab 向开发者介绍了常见类型的 Web 应用漏洞。本着“有黑客的本事才能制服黑客”的理念,此 Codelab 还演示了攻击者可能会如何利用此类漏洞。
今天,我们与 Google 编程学院和 Google 实验室联合发布此 Codelab,名称为“Web 应用攻击和防御”(Web Application Exploits and Defenses),帮助软件开发者更好地识别、修复和避免其应用中的类似缺陷。此 Codelab 围绕 Gruyere 构建而成,Gruyere 是一个功能齐全的微博应用,包含大量安全错误。本实验室涵盖的漏洞包括跨站脚本攻击 (XSS)、跨站请求伪造 (XSRF) 和跨站脚本包含 (XSSI),以及客���端状态操作、路径遍历及 AJAX 和配置漏洞。它还展示了简单的错误如何导致信息泄露、拒绝服务攻击和远程代码执行。
“足够多的眼睛,就可让所有问题浮现”这一准则仅在知道需要查找什么时才成立。因此,Gruyere 中的安全错误是真正的错误,就像许多其他应用中的错误一样。Gruyere 源代码是根据知识共享许可发布的,可在白盒黑客攻击模拟练习或涵盖安全、软件工程或常规软件开发的计算机科学课程中使用。
如需开始使用,请访问 https://google-gruyere.appspot.com/。Google 编程学院现在提供了使用此 Codelab 的教师指南。