Training für sichere Web-Apps
Jarlsberg: Google veröffentlicht bug-verseuchte Microblogging-Plattform
Im Rahmen der Codelabs hat Google eine Microblogging-Plattform (ähnlich wie Twitter) veröffentlicht. Die Jarlsberg-Web-Applikation ist absichtlich voller Programmierfehler und Sicherheitslecks. Im Rahmen der Google Code Universität werden Entwickler Schritt-für-Schritt durch die Angriffsszenarien geführt, denen sich auch echte Cracker bedienen. Die Teilnehmer sollen lernen, wie Angreifer Sicherheitslücken finden, wie sie die Web-Apps attackieren und wie man die eigenen Anwendungen absichern kann.
Google stellt Jarlsberg als sichere Experimentierstube zur Verfügung, Hacking-Angriffe sind innerhalb des Codelabs ausdrücklich erlaubt. Verboten sind allerdings Attacken auf den Codelab-Server selbst oder die Google AppEngine. Jeder Nutzer erhält eine eigene Instanz der Jarlsberg-Applikation, so dass sich verschiedene Nutzer nicht in die Quere kommen.
Google führt die Nutzer durch verschiedene Angriffsszenarien. Dazu gehören Techniken wie Cross-Site-Scripting, Client-State Manipulation, Cross-Site Request Forgery, Cross Site Script Inclusion, Path Traversal, Denial of Service oder das Ausführen von Code. Die Jarlsberg-Instanz lässt sich dabei jederzeit wieder in den Ausgangspunkt zurückversetzen. (mja)
- Ein manueller Klick löst ein HTTP-GET auf dem Server aus.
- Auch ohne den sich stets verändernden rand-Parameter funktioniert der Logout.
- Auch ein Bild wie hier das TecChannel-Logo erzeigt einen HTTP-GET auf dem Webserver.
- Auf einer Demoseite unter einer ganz anderen Domain ist der Logout-Link als falsches Image eingebettet.
- Der Server kann den Aufruf eines Bildes auf der Seite log4view.de nicht von einem Klick auf einen Link auf TecChannel.de unterscheiden.