Para dar uma força nos estudos o Google publicou uma aplicação web de teste, Jarlsberg. Ela permite que os usuários postem textos, lembrando uma mini rede social. Só que está lotada de bugs diversos, incluindo vulnerabilidades cross-site scripting (XSS) e cross-site request forgery (XSRF). A sua missão será atacar a ferramenta, explorando suas vulnerabilidades de duas formas. Uma delas é black box hacking, onde você ataca usando ferramentas próprias ou sistemas de proxy, tentando passar parâmetros diferentes na URL ou injetando código. A outra, white box hacking, é como se você estivesse do outro lado - do lado dos desenvolvedores do site. Você terá acesso ao código fonte (em Python) e poderá corrigir os bugs encontrados, além de descobrir novos bugs apenas por uma análise criteriosa do código.
Essa aplicação de teste serve para aprendizado, sendo útil para quem lida com segurança de sites. Especialmente sites da web 2.0. Os erros encontrados ajudarão no seu dia-a-dia programando para web, onde poderá conhecer e evitar na prática os erros similares.
O código liberado é apenas para estudos, usando uma licença Creative Commons sem permitir a criação de trabalhos derivados. Se interessou, acesse http://jarlsberg.appspot.com/ e comece a brincadeira.
Postagens
0 comentários:
Postar um comentário