认识威胁

2020 年 5 月 4 日，星期二

已在 Google 在线安全博客上交叉发布

我们希望 Google 员工能够明确了解我们的服务面临的威胁，以及如何帮助防范这些威胁。我们通过多种方式努力实现这些目标，包括为新工程师提供安全培训、关于安全性的技术演示文稿和其他类型的文档。我们还使用 Codelab 作为互动编程教程，引导参与者完成具体的编程任务。

具体而言，一个 Codelab 向开发者介绍了常见类型的 Web 应用漏洞。本着“有黑客的本事才能制服黑客”的理念，此 Codelab 还演示了攻击者可能会如何利用此类漏洞。

今天，我们与 Google 编程学院和 Google 实验室联合发布此 Codelab，名称为“Web 应用攻击和防御”(Web Application Exploits and Defenses)，帮助软件开发者更好地识别、修复和避免其应用中的类似缺陷。此 Codelab 围绕 Gruyere 构建而成，Gruyere 是一个功能齐全的微博应用，包含大量安全错误。本实验室涵盖的漏洞包括跨站脚本攻击 (XSS)、跨站请求伪造 (XSRF) 和跨站脚本包含 (XSSI)，以及客户端状态操作、路径遍历及 AJAX 和配置漏洞。它还展示了简单的错误如何导致信息泄露、拒绝服务攻击和远程代码执行。

“足够多的眼睛，就可让所有问题浮现”这一准则仅在知道需要查找什么时才成立。因此，Gruyere 中的安全错误是真正的错误，就像许多其他应用中的错误一样。Gruyere 源代码是根据知识共享许可发布的，可在白盒黑客攻击模拟练习或涵盖安全、软件工程或常规软件开发的计算机科学课程中使用。

如需开始使用，请访问 https://google-gruyere.appspot.com/。Google 编程学院现在提供了使用此 Codelab 的教师指南。

发布者：Bruce Leban，软件工程师