Googles nya “Twitter” är jättebuggigt…

Publicerat: 5 maj 2010 i Säkerhet

… men det också är meningen.

jarlsberg

Google släppte igår en ny microbloggningsplattform med namnet Jarlsberg som är fullproppad med säkerhetshål. Syftet är att utbilda programmerare i att att identifiera och fixa säkerhetshål. Det riktar sig främst till utvecklare av webbapplikationer, men jag gissar att även utvecklare av andra lösningar kan ha nytta av detta. Denna utbildning (eller codelab som de kallar den) heter Web Application Exploits and Defenses.

Vissa av säkerhetsfixarna i Jarlsberg introducerar till och med nya fel och även detta hanteras i de övningar som finns att följa, som tydligen ska vara ganska pedagogiska.

Google skriver själva på sin blogg:

The vulnerabilities covered by the lab include cross-site scripting (XSS), cross-site request forgery (XSRF) and cross-site script inclusion (XSSI), as well as client-state manipulation, path traversal and AJAX and configuration vulnerabilities. It also shows how simple bugs can lead to information disclosure, denial-of-service and remote code execution.

Detta kan så klart också användas som övning och utbildning för hackers, men att öka IT-säkerheten genom att dölja problemen har ju inte fungerat så bra hittills  🙂

Läs mer om Jarlsberg här:
http://jarlsberg.appspot.com

Det finns även andra medvetet osäkra webbsystem som man kan öva på, t.ex. OWASP WebGoat, Foundstones HackMe-serie etc. Här finns en ganska färsk lista på 24 stycken för den som har för mycket tid över.

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s