很多人都想知道黑客是如何攻击并进入到系统的,为了帮助他们,Google创建了一个特殊的名为Jarlsberg 的实验室,其中的应用程序满是安全漏洞,开发者可以利用它以实践的方式学习到潜在的漏洞是什么样的,恶意用户是如何利用这些漏洞的,以及如何做才能免受攻击。
这个实验室是围绕安全漏洞的不同类型来组织的,对于每个漏洞,都有找寻和攻击漏洞的任务可供完成。 该实验室使用了下列三种主要的技术:
- 黑盒:用户看不到应用程序的源代码,因此他们需要猜测服务器工作的方式,从而设法利用安全漏洞。
- 白盒:以开源应用的形式提供了源代码(Python)。 用户可以阅读代码,从而找到弱点所在。
- 灰盒:实验室会给出一些应用程序是如何编写的提示,但不会让用户看到完整的源代码。
Jarlsberg特意使用了大量特性,以扩大应用程序的攻击面。
- 代码片段中的HTML: 用户可以在代码片段中包含特定的HTML代码。
- 文件上载: 用户可以向服务器上载文件,例如,在他们的代码片断中包含图片。
- Web形式的管理: 系统管理员可以使用web界面来管理系统。
- 新建账号: 用户可以创建属于自己的账号。
- 模板语言: Jarlsberg模板语言(JTL)是种新语言,它使得开发者可以更容易地编写网页,作为直接与数据库连接的模板。 你可以在
jarlsberg/jtl.py
找到JTL的相关文档。
- AJAX: Jarlsberg使用AJAX来实现在主页和代码片断页中的刷新。 如果不需要特别关注AJAX内容,你可以忽略Jarlsberg中的AJAX部分。
在Jarlsberg中,你可以找到、利用并最终修复以下安全漏洞:
- 跨站点脚本攻击(XSS)
- 跨站点伪造请求攻击(XSRF)
- 跨站点包含脚本攻击(CSSI)
- 客户端状态操控攻击
- 路径模式发掘攻击
- 拒绝服务攻击(DoS)
- 执行代码攻击
- 配置漏洞
- AJAX漏洞攻击
你可以在本地运行该实验室,以在整个学习过程中完全掌控该实验室;或者也可以在Google的云中作为沙盒实例运行。 该实验室大部分是基于Creative Commons Attribution 3.0协议发布的,但也有一部分是基于Creative Commons Attribution-No Derivative Works 3.0协议发布的,这使得对于大学培训学生或者公司培训员工,让他们理解并保护他们系统免受安全漏洞影响都是很理想的。
查看原文:Learning About Security Vulnerabilities by Hacking Google’s Jarlsberg
转自InfoQ http://www.infoq.com/cn/news/2010/05/Jarlsberg
分享到:
相关推荐
利用谷歌搜索SQL注入漏洞关键词 目标关键字+inurl:id 英语字母及单词+inurl:id 网站域名+inurl:id 阿拉伯数字+inurl:id inurl:asp?id= inurl:Article_Print.asp? EnCompHonorBig.asp?id=随便加个数字 showproduct....
谷歌深度学习笔记谷歌深度学习笔记谷歌深度学习笔记谷歌深度学习笔记谷歌深度学习笔记
Tensorflow 实战Google深度学习框架Tensorflow 实战Google深度学习框架Tensorflow 实战Google深度学习框架Tensorflow 实战Google深度学习框架Tensorflow 实战Google深度学习框架Tensorflow 实战Google深度学习框架...
谷歌插件学习如何监听网站的异步请求
本资源为高清pdf版,主要内容是google提供的深度学习相关的术语,为提供学习用途
Google开源的机器学习框架Tensorflow谷歌官方教程.rar MNIST Machine Learning google 机器学习 TensorFlow Graph ML
( Tensorflow 实战Google深度学习框架.zip ) 《Tensorflow:实战Google深度学习...《Tensorflow:实战Google深度学习框架》包含了深度学习的入门知识和大量实践经验,是走进这个最新、最火的人工智能领域的首选参考书。
想要学习机器,并且深入了解的人群,想要快速有进步的
from big data to big knowledge,google在CIKM 2013上的主题演讲,大数据知识图谱的应用
服务器端与客户端通信,使用google protobuf作为交互数据的序列化工具,其中客户端使用select机制实现I/O复用,服务端使用epoll机制,提高并发连接时的处理效率。软件环境:linux。文件dealpack.cc是服务端和客户端...
( Tensorflow 实战Google深度学习框架 ) 高清完整PDF版 带书签 ...《Tensorflow:实战Google深度学习框架》包含了深度学习的入门知识和大量实践经验,是走进这个最新、最火的人工智能领域的首选参考书。
opencv 3.1.0 源码重新编译出的Android sdk so 文件 ,解决了Google play 报的libpng 旧版本安全漏洞,本so 文件 采用的是最新的libpng 1.6.23版本 ,包含arm arm-v7a mips x86 等平台文件
如果你是初学者没有涉及过 TensorFlow 甚至对深度学习领域的基本知识都不是特别熟悉的话,建议优先读《TensorFlow实战Google深度学习框架》;如果你想更加深入了解 TensorFlow 的话,建议优先读《TensorFlow实战》;
谷歌机器学习速成课程中文视频(第三部分) 17.多类别神经网络.mp4 18.嵌入.mp4
小知识 ,实用 。 看了才感叹原来这么多年的GOOGLE【谷歌】是白用了~这就是百度永远无法超越G的原因吧~
方便大家学习查阅深度学习的资料,本文件是Tensorflow+实战Google深度学习框架+tensorflow教程
TensorFlow 是谷歌2015 年开源的主流深度学习框架,目前已在谷歌、优步(Uber)、京东、小米等科技公司广泛应用。《TensorFlow:实战Google深度学习框架》为使用TensorFlow 深度学习框架的入门参考书,旨在帮助读者...
深度学习 Tensorflow实战Google深度学习框架 机器学习 神经网络
根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。 jQuery Mobile项目(jQuery框架...
机器学习速成课程 是 Google 在 google.cn 推出的一些了机器学习课程,针对初学者,只要有一些基础的数学以及 python 知识,就可以开始快速入门。