AICon日程100%就绪,9折倒计时最后一周 了解详情
写点什么

攻击 Google 的 Jarlsberg,学习安全漏洞知识

  • 2010-05-08
  • 本文字数:943 字

    阅读完需:约 3 分钟

很多人都想知道黑客是如何攻击并进入到系统的,为了帮助他们,Google 创建了一个特殊的名为 Jarlsberg 的实验室,其中的应用程序满是安全漏洞,开发者可以利用它以实践的方式学习到潜在的漏洞是什么样的,恶意用户是如何利用这些漏洞的,以及如何做才能免受攻击。

这个实验室是围绕安全漏洞的不同类型来组织的,对于每个漏洞,都有找寻和攻击漏洞的任务可供完成。 该实验室使用了下列三种主要的技术:

  • 黑盒:用户看不到应用程序的源代码,因此他们需要猜测服务器工作的方式,从而设法利用安全漏洞。
  • 白盒:以开源应用的形式提供了源代码(Python)。 用户可以阅读代码,从而找到弱点所在。
  • 灰盒:实验室会给出一些应用程序是如何编写的提示,但不会让用户看到完整的源代码。

Jarlsberg 特意使用了大量特性,以扩大应用程序的攻击面。

  • 代码片段中的 HTML: 用户可以在代码片段中包含特定的 HTML 代码。
  • 文件上载: 用户可以向服务器上载文件,例如,在他们的代码片断中包含图片。
  • Web 形式的管理: 系统管理员可以使用 web 界面来管理系统。
  • 新建账号: 用户可以创建属于自己的账号。
  • 模板语言: Jarlsberg 模板语言(JTL)是种新语言,它使得开发者可以更容易地编写网页,作为直接与数据库连接的模板。 你可以在<a href="http://jarlsberg.appspot.com/code/?jtl.py">jarlsberg/jtl.py</a>找到 JTL 的相关文档。
  • AJAX: Jarlsberg 使用 AJAX 来实现在主页和代码片断页中的刷新。 如果不需要特别关注 AJAX 内容,你可以忽略 Jarlsberg 中的 AJAX 部分。

在 Jarlsberg 中,你可以找到、利用并最终修复以下安全漏洞:

  • 跨站点脚本攻击(XSS)
  • 跨站点伪造请求攻击(XSRF)
  • 跨站点包含脚本攻击(CSSI)
  • 客户端状态操控攻击
  • 路径模式发掘攻击
  • 拒绝服务攻击(DoS)
  • 执行代码攻击
  • 配置漏洞
  • AJAX 漏洞攻击

你可以在本地运行该实验室,以在整个学习过程中完全掌控该实验室;或者也可以在 Google 的云中作为沙盒实例运行。 该实验室大部分是基于 Creative Commons Attribution 3.0 协议发布的,但也有一部分是基于 Creative Commons Attribution-No Derivative Works 3.0 协议发布的,这使得对于大学培训学生或者公司培训员工,让他们理解并保护他们系统免受安全漏洞影响都是很理想的。

查看原文: Learning About Security Vulnerabilities by Hacking Google’s Jarlsberg

2010-05-08 22:413665
用户头像

发布了 340 篇内容, 共 129.6 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

简介一下LoRA模型

IT蜗壳-Tango

三周年连更

Docker安全中的一些技术工具

穿过生命散发芬芳

Docker 三周年连更

瓴羊Quick BI工具重建企业数字体系,数据处理不再难

巷子

Shell的基本使用方法

梦笔生花

shell脚本编程 Shell命令 三周年连更

Django笔记二十一之使用原生SQL查询数据库

Hunter熊

Python sql django connection

Stable Diffusion WebUI汉化

IT蜗壳-Tango

三周年连更

Syslog-ng RHEL 的安装和配置

HoneyMoose

Matlab实现深度学习

袁袁袁袁满

三周年连更

Web前端已死?别带节奏了,说白了就是“卷”

引迈信息

前端 大前端 低代码 java 并发 JNPF

Java泛型详解

timerring

Java

腾讯云大佬亲码“redis深度笔记”无废话全精华!

程序知音

Java 数据库 redis Java进阶 后端技术

开心档之C++ 重载运算符

雪奈椰子

FFmpeg从入门到精通-云享读书会总结

DS小龙哥

三周年连更

探究Spring中Bean的线程安全性问题

做梦都在改BUG

Java spring 线程安全 bean

登顶Nature 正刊!百度生物计算用AI首次实现mRNA领域重大进展

脑极体

AI 生物

高级滤镜效果:Topaz Photo AI Mac电脑版

真大的脸盆

Mac Mac 软件 图像编辑处理 图像优化工具

瓴羊Quick BI工具助力企业,数据处理效率翻番!

夏日星河

IDP中的黄金路径究竟是什么?

SEAL安全

IdP 平台工程 内部开发者平台 企业号 5 月 PK 榜 黄金路径

开心档之C++ 指针

雪奈椰子

手把手教会你 | 多用户-服务器聊天室应用软件开发

TiAmo

多线程并发 数据库编程 服务器聊天室

分布式Mysql

乌龟哥哥

三周年连更

“前端”工匠系列(一):合格的工匠,究竟该搞什么 | 京东云技术团队

京东科技开发者

前端 编码格式 Vue 3 企业号 5 月 PK 榜

程序员必知必会!阿里内部热捧“Spring全线笔记”太完整了

程序知音

Java spring java架构 Java进阶 后端技术

瓴羊QUICKBI工具帮助企业处理数据,效率提升数倍!

对不起该用户已成仙‖

Go常用设计模式(上)

闫同学

三周年连更

【分布式技术专题】「分布式技术架构」手把手教你如何开发一个属于自己的分布式锁的功能组件

洛神灬殇

redis 分布式锁 三周年连更 动手实现

Flink运行架构

阿泽🧸

flink 三周年连更

JS中数组随机排序实现(原地算法sort/shuffle算法)

不叫猫先生

JavaScrip 算法、 三周年连更

vivo积分任务体系的架构演进-平台产品系列05

vivo互联网技术

架构演进 积分 任务体系

在 Go 中如何使用 Viper 来管理配置

江湖十年

golang 后端 日志

最高可达4000万元!浙江台州|台州市“500精英计划”引才政策申报

科兴未来News

攻击Google的Jarlsberg,学习安全漏洞知识_Java_Abel Avram_InfoQ精选文章