写点什么

攻击 Google 的 Jarlsberg,学习安全漏洞知识

  • 2010-05-08
  • 本文字数:943 字

    阅读完需:约 3 分钟

很多人都想知道黑客是如何攻击并进入到系统的,为了帮助他们,Google 创建了一个特殊的名为 Jarlsberg 的实验室,其中的应用程序满是安全漏洞,开发者可以利用它以实践的方式学习到潜在的漏洞是什么样的,恶意用户是如何利用这些漏洞的,以及如何做才能免受攻击。

这个实验室是围绕安全漏洞的不同类型来组织的,对于每个漏洞,都有找寻和攻击漏洞的任务可供完成。 该实验室使用了下列三种主要的技术:

  • 黑盒:用户看不到应用程序的源代码,因此他们需要猜测服务器工作的方式,从而设法利用安全漏洞。
  • 白盒:以开源应用的形式提供了源代码(Python)。 用户可以阅读代码,从而找到弱点所在。
  • 灰盒:实验室会给出一些应用程序是如何编写的提示,但不会让用户看到完整的源代码。

Jarlsberg 特意使用了大量特性,以扩大应用程序的攻击面。

  • 代码片段中的 HTML: 用户可以在代码片段中包含特定的 HTML 代码。
  • 文件上载: 用户可以向服务器上载文件,例如,在他们的代码片断中包含图片。
  • Web 形式的管理: 系统管理员可以使用 web 界面来管理系统。
  • 新建账号: 用户可以创建属于自己的账号。
  • 模板语言: Jarlsberg 模板语言(JTL)是种新语言,它使得开发者可以更容易地编写网页,作为直接与数据库连接的模板。 你可以在<a href="http://jarlsberg.appspot.com/code/?jtl.py">jarlsberg/jtl.py</a>找到 JTL 的相关文档。
  • AJAX: Jarlsberg 使用 AJAX 来实现在主页和代码片断页中的刷新。 如果不需要特别关注 AJAX 内容,你可以忽略 Jarlsberg 中的 AJAX 部分。

在 Jarlsberg 中,你可以找到、利用并最终修复以下安全漏洞:

  • 跨站点脚本攻击(XSS)
  • 跨站点伪造请求攻击(XSRF)
  • 跨站点包含脚本攻击(CSSI)
  • 客户端状态操控攻击
  • 路径模式发掘攻击
  • 拒绝服务攻击(DoS)
  • 执行代码攻击
  • 配置漏洞
  • AJAX 漏洞攻击

你可以在本地运行该实验室,以在整个学习过程中完全掌控该实验室;或者也可以在 Google 的云中作为沙盒实例运行。 该实验室大部分是基于 Creative Commons Attribution 3.0 协议发布的,但也有一部分是基于 Creative Commons Attribution-No Derivative Works 3.0 协议发布的,这使得对于大学培训学生或者公司培训员工,让他们理解并保护他们系统免受安全漏洞影响都是很理想的。

查看原文: Learning About Security Vulnerabilities by Hacking Google’s Jarlsberg

2010-05-08 22:413840
用户头像

发布了 340 篇内容, 共 135.7 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

Git使用

xujiangniao

安卓内存监控悬浮窗,算法题+JVM,知识点总结+面试题解析

欢喜学安卓

android 程序员 面试 移动开发

Java 并发编程—— Exchanger

Antway

6月日更

双向链表,还能这么实现

实力程序员

APISIX2.6微服务网关入门

菠萝吹雪—Code

架构实战营

读深入ES6记[一]

蛋先生DX

ES6 6月日更

分布式管理员zookeeper

卢卡多多

zookeeper CAP 6月日更

让JavaScript在WebAssembly上快速运行

代码先生

JIT webassembly WASI

react源码解析8.render阶段

全栈潇晨

React react源码

【LeetCode】汉明距离Java题解

Albert

算法 LeetCode 6月日更

不看绝对血亏!跳槽面试大厂被拒,2021最新版!

欢喜学安卓

android 程序员 面试 移动开发

企业管理软件开发新模式:抛开旧思维,轻松做系统

雯雯写代码

软件开发 企业管理

MySQL next-key lock 加锁范围总结

程序员小航

MySQL 索引 锁机制

自制文件系统 —— 02 开发者的福音,FUSE文件系统

奇伢云存储

Linux 文件系统 FUSE

如何合并K个有序链表

Skysper

算法

Service worker 的概念和用法

编程三昧

大前端 ServiceWorker

Go timer 是如何被调度的?

HHFCodeRv

Go 语言

美团主办国际顶会ICCV 2021研讨会,食品视觉领域顶级挑战赛开启报名

科技热闻

MySQL基础之五:其他过滤方式

打工人!

myslq 6月日更

El Camino de Santiago

escray

6月日更

阿里云,让「服务」成为一种先进生产力

ToB行业头条

云计算 阿里云

Bzz云算力挖矿app开发,Bzz分币系统搭建

上新!H3C Magic NX54双频5400M Wi-Fi 6路由器:549元

科技热闻

Chia奇亚挖矿app开发|系统搭建

開發I3O6O643Zq7

挖矿 #区块链# IPFS怎么挖矿 Chia奇亚挖矿

独热编码&词向量

Qien Z.

nlp 6月日更 独热编码 词向量 句子向量

百度Geek们教你怎样成为复盘高手

百度Geek说

我的程序员生涯(1)

胡途

程序员 职业生涯

我的程序员生涯(2)

胡途

程序员 职业生涯

数仓建设之路(一)

undefined

【Vue2.x 源码学习】第七篇 - 阶段性梳理

Brave

源码 vue2 6月日更

【Flutter 专题】126 图解自定义两侧对齐 ACETabBar 标签导航栏

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 6月日更

攻击Google的Jarlsberg,学习安全漏洞知识_Java_Abel Avram_InfoQ精选文章