Компания Google выпустила бесплатное сетевое учебное пособие, которое дает
разработчикам возможность поставить себя на место киберпреступников,
эксплуатируя бреши в специально созданной для этих целей программе.
Тренинг построен вокруг “небольшого, низкопробного веб-приложения” под
названием Jarlsberg, которое буквально напичкано разного рода багами, которые
можно эксплуатировать с целью нарушения работы серверов, удаленного выполнения
кода и кражи данных. Приложение можно также загрузить на локальную машину и на
его примере обучать программистов тому, как не следует писать программы.
Кроме того, с помощью Jarlsberg можно сымитировать некий “черный ящик”, то
есть создать ситуацию, при которой обучающиеся атакуют машину, не зная исходных
кодов программы. Написано приложение на языке Python, поэтому особенно
интересным взлом будет для тех, кто в нем пока не слишком здорово разбирается.
Пособие предназначено для обучения заинтересованных лиц обнаружению и
устранению самых распространенных багов, таких как межсайтовый скриптинг (XSS),
межсайтовая подделка запросов (CSRF) и выход за пределы разрешенных директорий.
При этом происходит обучение как самому процессу обнаружения, так и методам
эксплуатации брешей.
Код программы Jarlsberg доступен
здесь, а “инструкцию
по применению” можно найти
здесь.
