Home Tags Posts tagged with "Jarlsberg"

Jarlsberg

0 1092
google-codeGoogle lanzó un nuevo curso en línea para el diseño de aplicaciones Web con la finalidad de enseñar a los desarrolladores la forma de evitar los errores comunes de programación que pueden llevar a la generación de vulnerabilidades como códigos de sitios cruzados (XSS), obtener solicitudes desde sitios externos, entre otros.

El curso, que es parte Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, una programa que Google liberó para este fin. Conocido como “Web Application Exploits and Defenses,” el curso otorga a los desarrolladores la oportunidad de visualizar el funcionamiento interno de una aplicación fundamentalmente insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas.

El codelab fue construida entorno a Jarlsberg, una pequeña aplicación web que permite a los usuarios publicar fragmentos de texto y almacena diversos archivos. ‘Desafortunadamente,’ Jarlsberg tiene muchos errores de seguridad que van desde código de sitios cruzados y falsificación de peticiones de sitios cruzados, a la divulgación de información, negación de servicio y ejecución de código remoto. La meta de este codelab es guiar a los usuarios mediante el descubrimiento de algunos de estos errores para enseñar las formas de reparar tanto Jarlsberg como otras aplicaciones de uso general“, informa el documento del curso.

El curso de desarrollo seguro se basa en una serie de retos que requieren que los estudiantes se esfuercen e identifiquen vulnerabilidades especificas en el código de Jarlsberg. Después de que los estudiantes aprenden los fundamentos de una vulnerabilidad, como CSRF, se les pide que encuentren una forma de utilizar esta falla para realizar una acción maliciosas especifica en la aplicación, como cambiar algunos detalles en la cuenta de registro de los usuarios sin que ellos se enteren.

La clases de código seguro para desarrolladores no son nada nuevo, tampoco son las clases que enseñan como vulnerar de forma ética y otorgan a los estudiantes la oportunidad de aprender las técnicas básicas de ataque. Pero la idea la idea de dar a los desarrolladores la oportunidad de ir tras las vulnerabilidades de una aplicación Web especialmente diseñada para ese fin es algo nuevo, y probablemente muy necesario, dada la poca capacitación que muchos de ellos obtienen.

El curso de seguridad está abierto a todos y disponible de forma gratuita, así como el código Jarlsberg.

Visto en Cryptex