Googleのセキュリティ学習教材Jarlsbergが面白い。

Googleが先日だしたセキュリティ教材であるJarlsbergが面白い。
サンプルアプリを攻撃して実際に動きを見たりその対策を実施したり出来る。

http://jarlsberg.appspot.com/

AppEngineに浮かんでいるので直ぐに遊んでみることが出来る。
アクセスするとワンタイムなサイトを作ってくれてそのなかで攻撃したり出来る。
セキュリティ的なものなのでネット上でやるのは怖いのでちゃんとローカルでも動かすことが出来る。
ソース読んだり直したりするならローカルでやるのがいいかな。

ダウンロードして
http://jarlsberg.appspot.com/jarlsberg-code.zip

unzip して、実行
$ cd
$ ./jarlsberg.py

http://127.0.0.1:8008
で確認できるはず。

http://matzjiro.at.webry.info/201005/article_6.html


そしてXSSI(Cross Site Script Inclusion) をはじめてちゃんと動かしてみた。
XSSIというとeXtended Server-Side Includesとか懐かしい感じだけどそれではなくCrossSite Script Inclusionの方ね
調べたら2008年ぐらいから言われているようだけどマニアックだよね。ぐぐってもほぼ出てこないし。

ちなみにこのパワポ資料が詳しかった。
http://dev.gentoo.gr.jp/~trombik/pub/tmp/pacsec-ja/Cross_domain_leakiness.ppt



セキュリティ系はなかなかうごかしたりやってみるチャンスが無いのでこういうのはいいね。
そしてGoogleがこういうのをやる裏にはセキュリティの対策に銀の弾丸は無く対策するにはアプリ作者が勉強しなさい!ってメッセージなんだろうな。

Google、「ハッキング学習用Webアプリ」を公開 | スラド セキュリティ

広告を非表示にする