¿Eres consciente de los peligros que acechan?

Nos hemos propuesto que los usuarios de Google conozcan las amenazas a las que se enfrentan nuestros servicios y aprendan a protegerse contra ellas. Para ello, nos servimos de sesiones de formación sobre seguridad para nuevos ingenieros, presentaciones técnicas sobre seguridad y otros tipos de documentación. Asimismo, utilizamos codelabs, tutoriales de programación interactivos que muestran a los participantes cómo realizar tareas de programación específicas.

Uno de ellos, concretamente, enseña a los desarrolladores los tipos más frecuentes de vulnerabilidades de las aplicaciones web. Este codelab, basado en la idea de que se necesita un hacker para atrapar a otro, muestra también de qué manera puede un agresor sacar partido de estos puntos débiles.

Hemos publicado este codelab, titulado "Amenazas y defensas de las aplicaciones web" en colaboración con Google Code University y Google Labs con el fin de ayudar a los desarrolladores de software a reconocer, solucionar y evitar problemas similares en sus propias aplicaciones. El codelab se ha diseñado en torno a Jarlsberg, una aplicación de microblogging pequeña pero totalmente funcional diseñada para albergar un gran número de errores de seguridad. Entre las vulnerabilidades descritas, se incluyen cross-site scripting (XSS), cross-site request forgery (XSRF) y cross-site script inclusion (XSSI), así como vulnerabilidades AJAX y de configuración, de manipulación del estado de los clientes y de acceso no autorizado a directorios. El codelab también muestra cómo algunos errores aparentemente sin importancia pueden dar lugar a la revelación de información, la denegación de servicios y la ejecución remota de códigos.

El dicho de "cuatro ojos ven más que dos" sólo resultará útil si se sabe qué hay que buscar exactamente. Así pues, los errores de seguridad de Jarlsberg son errores reales como los que se pueden encontrar en cualquier otra aplicación. El código fuente de Jarlsberg se publica bajo licencia de Creative Commons y está disponible para su utilización en ejercicios de acceso a otros equipos sin fines perjudiciales o en clases de informática sobre seguridad, ingeniería de software o desarrollo de software en general.

Para empezar, visita http://jarlsberg.appspot.com. Ya está disponible una guía del instructor para el uso del codelab en Google Code University. Además, no dudes en consultar el Google Online Security Blog [inglés].


miércoles, 23 de junio de 2010