6/5/2010
Google zaprezentowało aplikację webową, do której celowo wprowadzono najpopularniejsze błędy spotykane podczas testów bezpieczeństwa serwisów internetowych. Aplikacja nazywa się Jarslberg i posłuży do nauki bezpiecznnego tworzenia aplikacji webowych.
Jarslberg – dziurawy webapp
Jarslberg, czyli podatna na ataki webaplikacja od Google zawiera w sobie m.in. błedy typu XSS, CSRF, XSSI. Projekt powstał przy współpracy z Google Code University, gdzie studenci mogą znaleźć dodatkowe informacje dotyczące bezpiecznego tworzenia serwisów internetowych oraz rozwiązania jarslbergowych zagadek.
Aby sprawdzić swoją wiedzę, można skorzystać ze strony Jarslberga lub pobrać jego kod i zainstalować go lokalnie na swoim komputerze.
Inne projekty tego typu
Warto wspomnieć, że tego typu projektów jest już kilka na rynku. Z najpopularniejszych wspomnimy tu o OWASP-owym WebGoat (przełamywanie zabezpieczeń webaplikacji), rodzimym przewodniku Pawła Golenia (też webaplikacje), oraz Damn Vurnelabre Linux (przełamywanie zabezpieczeń systemu operacyjnego).
Szkolenie z Niebezpiecznikiem
Wszystkich zainteresowanych profesjonalnym, 2-dniowym szkoleniem z atakowania i ochrony webaplikacji, w którym na praktycznych przykładach prezentowane są błedy w webaplikacjach (XSS, CSRF, ataki na sesje, Path Traversal, SQL injection, WAF-y, etc.), prowadzonym przez instruktora w osobie 1/3 ekipy Niebezpiecznika, zapraszamy do kontaktu — właśnie ustalamy datę kolejnego szkolenia.
Ciekawa inicjatywa, i potrzebna. Mało to jest na forach tematów ‘my site was hacked’?:)
btw: ‘profesjonalnym, 2-dniowym szkoleniem’+’zapraszamy do kontaktu’ = kolejne szkolenie za 2,5k+PLN?:P Studenci pozdrawiają pracujących^^
Tych, którzy nie chcą, nie mogą, nie mają $ (niepotrzebne skreślić) na odpłatne szkolenie/warsztaty zapraszam na spotkania OWASP Poland – najbliższe w przyszłym tygodniu! Więcej informacji wkrótce na http://www.owasp.org/index.php/Poland Zapraszam
Jak mowa o zabezpieczeniach i ich przełamywaniu, to zapraszam też do rozpykania wargame ;) Szczegóły tu: http://tdhack.com/viewtopic.php?p=33509, a serwer tu: http://wargame.tdhack.com
Byłem na szkoleniu prowadzonym przez “1/3 Niebezpiecznika”. Polecam, szczególnie “raczkującym”. Inni też znajdą coś dla siebie.
Szósty czy to szkolenie na którym byłeś było płatne? Jeśli tak to jaki przedział kwotowy to był?
@apatia: uprzedzę odpowiedź Szóstego: gentelmeni nie rozmawiają o pieniądzach. Dodatkowe informacje przesyłam Ci na prywatny e-mail.
Chyba najlepszym miejscem na sprawdzenie zdobytych umiejętności jest http://www.hackthissite.org/
A gdzie odbyłoby się szkolenie? Pewnie Wrocław/Kraków. Może Białystok odwiedzicie będę miał bliżej?
Pozdrawiam
W gre wchodzą dwie lokalizacje: Kraków oraz Warszawa. Termin to najprawdopodobniej czerwiec 2010 (lub później). Jak narazie, większość chętnych jest za Krakowem — ale zebrało się tyle osób, że i tak, trzeba będzie to rozbić na kilka szkoleń (ze względów jakościowych, nie prowadzę szkoleń dla grup powyżej 5 osób). Niewykluczone więc, że zbierze się i grupa Warszawska :-)
To ja zapraszam na swój bootcamp (link w artykule). Przy okazji jeśli ktoś z czytelników będzie miał pytania lub jakieś propozycje w zakresie tematów do poruszenia – czekam na propozycje. Nie każdy przykład/temat chcę robić, bo przykładowo tematy typu DoS czy Code Execution są ciężkie w zakresie przygotowania przykładu (bezpiecznego!), jeśli ma się ograniczone możliwości w zakresie ich hostowania :)
Witam apropo ataków na www:
http://img100.imageshack.us/i/heheg.jpg/
czy to nie jest przypadkiem luka?
[…] Metasploitable to z kolei obraz VMWare 6.5, bazujący na Ubuntu 8.04. Z podatnych na atak paczek zainstalowano m.in. tomcat 5.5, distcc, tikiwiki, twiki, i mysql. Metasploitable jest analogią do niedawno opublikowanej przez Google dziurawej webaplikacji. […]
[…] -https://niebezpiecznik.pl/post/google-uczy-hackowania/ […]