写点什么

攻击 Google 的 Jarlsberg,学习安全漏洞知识

  • 2010-05-08
  • 本文字数:943 字

    阅读完需:约 3 分钟

很多人都想知道黑客是如何攻击并进入到系统的,为了帮助他们,Google 创建了一个特殊的名为 Jarlsberg 的实验室,其中的应用程序满是安全漏洞,开发者可以利用它以实践的方式学习到潜在的漏洞是什么样的,恶意用户是如何利用这些漏洞的,以及如何做才能免受攻击。

这个实验室是围绕安全漏洞的不同类型来组织的,对于每个漏洞,都有找寻和攻击漏洞的任务可供完成。 该实验室使用了下列三种主要的技术:

  • 黑盒:用户看不到应用程序的源代码,因此他们需要猜测服务器工作的方式,从而设法利用安全漏洞。
  • 白盒:以开源应用的形式提供了源代码(Python)。 用户可以阅读代码,从而找到弱点所在。
  • 灰盒:实验室会给出一些应用程序是如何编写的提示,但不会让用户看到完整的源代码。

Jarlsberg 特意使用了大量特性,以扩大应用程序的攻击面。

  • 代码片段中的 HTML: 用户可以在代码片段中包含特定的 HTML 代码。
  • 文件上载: 用户可以向服务器上载文件,例如,在他们的代码片断中包含图片。
  • Web 形式的管理: 系统管理员可以使用 web 界面来管理系统。
  • 新建账号: 用户可以创建属于自己的账号。
  • 模板语言: Jarlsberg 模板语言(JTL)是种新语言,它使得开发者可以更容易地编写网页,作为直接与数据库连接的模板。 你可以在<a href="http://jarlsberg.appspot.com/code/?jtl.py">jarlsberg/jtl.py</a>找到 JTL 的相关文档。
  • AJAX: Jarlsberg 使用 AJAX 来实现在主页和代码片断页中的刷新。 如果不需要特别关注 AJAX 内容,你可以忽略 Jarlsberg 中的 AJAX 部分。

在 Jarlsberg 中,你可以找到、利用并最终修复以下安全漏洞:

  • 跨站点脚本攻击(XSS)
  • 跨站点伪造请求攻击(XSRF)
  • 跨站点包含脚本攻击(CSSI)
  • 客户端状态操控攻击
  • 路径模式发掘攻击
  • 拒绝服务攻击(DoS)
  • 执行代码攻击
  • 配置漏洞
  • AJAX 漏洞攻击

你可以在本地运行该实验室,以在整个学习过程中完全掌控该实验室;或者也可以在 Google 的云中作为沙盒实例运行。 该实验室大部分是基于 Creative Commons Attribution 3.0 协议发布的,但也有一部分是基于 Creative Commons Attribution-No Derivative Works 3.0 协议发布的,这使得对于大学培训学生或者公司培训员工,让他们理解并保护他们系统免受安全漏洞影响都是很理想的。

查看原文: Learning About Security Vulnerabilities by Hacking Google’s Jarlsberg

2010-05-08 22:413952
用户头像

发布了 340 篇内容, 共 139.3 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

上班摸鱼,可以玩一整天,哈哈哈!!!

诸葛小猿

上班 摸鱼

智算中心开启智慧时代,浪潮信息迎来新发展

Geek_116789

YAPI接口管理平台使用基础入门(一)

Man

DevOps 最佳实践 YAPI API接口管理

OOP面向对象编程(Object-Oriented Programming)概述

古月木易

面向对象 oop

定义@WeClub

WeClub

WeClub

案例研究之聊聊 Mybatis 源码 (三)

小诚信驿站

学习 开源 刘晓成 源码解析 小诚信驿站

腾讯员工每天在岗不足 8 小时被辞?背后原因可能不止你看到的这些!

程序员生活志

腾讯 辞退

细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”

360安全卫士

信创舆情一线--台积电宣布9月14日断供华为

统小信uos

华为 芯片 半导体

阿里巴巴取消周报?别高兴太早,也不见得是一件好事

非著名程序员

阿里巴巴 程序员 职场成长 职场误区

全球区块链专利排行榜中国52家企业上榜

CECBC

我成功转行做了java程序猿!

诸葛小猿

Java 程序员 转行

分布式事务解决方案Seata源码解析

Java 分布式 分布式事务

计算机网络基础(五)---网络层-IP地址的子网划分

书旅

laravel 计算机网络 网络协议 计算机基础

推荐一些学习MySQL的资源

Simon

MySQL

字节跳动的ToB生意经

ToB行业头条

从IT建设模式变化看客户中心发展

环信

OOP面向对象编程(Object-Oriented Programming)概述

奈学教育

面向对象编程

项目管理:如何显性管理并提升Story分解能力

华为云开发者联盟

项目管理 DevOps 故事 用户研究 华为云

2020技能排名:Python增速爆炸,SQL和Java老当益壮,AWS大吃一惊

程序猿黑哥

Java Python sql

犯罪黑客线上拉人入伙,流窜多地网吧植马,仅为盗取游戏账号

360安全卫士

小白教程——基于阿里云快速搭建自己的网站

诸葛小猿

阿里云 视频 网站搭建 小白

为什么编译原理被称为龙书?

苹果看辽宁体育

编译原理 编译优化

【DevCloud·敏捷智库】如何利用用户故事了解需求

华为云开发者联盟

敏捷开发 需求管理 需求 故事 华为云

【写作群星榜】7.11~7.17 写作平台优秀作者 & 文章排名

InfoQ写作社区官方

写作平台 排行榜 热门活动

高价值干货:这可能是你见过最全的网络爬虫总结

华为云开发者联盟

Python Web 爬虫 python 爬虫 内存数据库

调薪

池建强

团队管理 薪酬

分析师的进阶与升华:努力把自己做“没”

松子(李博源)

方法论 数据模型 数据分析师 指标体系 商业模型

编程核心能力之复用

顿晓

编程 复用 编程日课 技术思维

尝鲜刚发布的 SpringFox 3.0.0,以前造的轮子可以不用了...

程序猿DD

Spring Boot

Rust多线程之数据共享

编号94530

rust 多线程 数据共享 什么是多线程

攻击Google的Jarlsberg,学习安全漏洞知识_Java_Abel Avram_InfoQ精选文章