Google lança curso gratuito de segurança em aplicativos web

O Google lançou um novo curso de formação online para desenvolvedores de aplicativos Web projetado para ensinar-lhes como evitar erros comuns de programação que conduzem à vulnerabilidades como cross-site scripting, falsificação de solicitação entre sites e outros.

O curso, que faz parte do Google Code University, baseia-se em torno do conceito de um aplicativo para o Twitter, chamado Jarlsberg, uma aplicação real que o Google está lançando como parte do curso. Conhecido como “Exploits e Defesas de Aplicativos Web”, o curso oferece aos desenvolvedores a oportunidade de ver o funcionamento interno de uma aplicação fundamentalmente insegura, analisar as vulnerabilidades e aprender sobre os erros de programação que levaram a esses defeitos.

“Este curso foi feito em torno do Jarlsberg, uma pequena aplicação web que permite aos seus utilizadores publicar trechos do texto e armazenar arquivos diversos. “Infelizmente”, o Jarlsberg tem vários bugs de segurança que variam de cross-site scripting e falsificação de solicitação de cross-site, abertura de informações, negação de serviço e execução remota de código. O objetivo deste codelab é guiá-lo a descobrir alguns desses bugs e maneiras de aprender a resolvê-los, tanto no Jarlsberg como em geral,”, diz a documentação do curso.

Jarlsberg

O curso de desenvolvimento seguro é baseado em torno de uma série de desafios que exigem que os alunos passem e identifquem vulnerabilidades específicas no código do Jarlsberg. Depois que os alunos aprendem o básico de uma vulnerabilidade, tais como CSRF, eles então têm de encontrar uma maneira de usar essa falha para executar uma ação maliciosa específica na aplicação, tais como a mudança de alguns detalhes de um usuário logado na conta do utilizador sem o seu conhecimento.

Aulas de codificação segura para os desenvolvedores não são novidade, nem são o tipo de aulas de hacking ético que dão aos alunos a oportunidade de aprender técnicas básicas de ataque. Mas a idéia de dar aos desenvolvedores a oportunidade de ir atrás de vulnerabilidades em uma aplicação web projetada especificamente para esse fim é algo novo, e provavelmente muito necessária, dada a pouca instrução de segurança que a maioria dos desenvolvedores de aplicativo da Web recebe.

O curso de segurança é aberto a todos e disponível gratuitamente, assim como o código do Jarlsberg.

Fonte: http://threatpost.com

Anúncios