Học khai thác và bảo vệ lỗ hổng web với Gruyere

[DDos]

Không còn nghi ngờ gì nữa, bảo mật web đang là một vấn đề rất quan trọng và nhức nhối trong lĩnh vực bảo mật thông tin. Việc học và tìm hiểu các kỹ thuật hack liên quan tới web cũng rất thú vị (mình rất thích thiên hướng này ). Đôi khi bạn học với một hàng dài những kiến thức nhưng không biết tìm lab nào đủ độ khó và có nhiều cấp độ để thực hành và trau dồi kỹ năng, thì Codelab sẽ giúp bạn điều này.

Codelab là một ứng dụng web chứa rất nhiều lỗ hổng từ XSS, CSRF tới lỗ hổng rò rỉ thông tin, Dos và RCE... Mục đích của Codelab là hướng dẫn bạn thông qua việc khám phá các lỗ hổng và học cách sửa lỗi để từ đó tìm hiểu cách khai thác và phòng thủ. (Tất nhiên là nó sẽ không nhàm chán như DVWA )

Codelab được tổ chức bỏ các loại lỗ hổng. Trong mỗi mục, bạn sẽ thấy một mô tả ngắn gọn về lỗ hổng đó và một nhiệm vụ để tìm ra lỗ hổng trong đó. Công việc này giống như một hacker đang tìm kiếm lỗ hổng web. Hay hơn nữa là sẽ có cả hai phương pháp cho bạn thực hiện: Black-box và White-box.

Một vài công cụ có thể hữu dụng cho bạn đó là Burp Suite, WebScrab,...

Các loại lỗ hổng bao gồm trong Codelab:

• Cross-Site Scripting (XSS)
• Client-state Manipulation
• Cross-Site Request Forgery (XSRF)
• Cross Site Script Inclusion (XSSI)
• Path Traversal
• Denial of Service (DoS)
• Code Execution
• Configuration Vulnerabilities
• AJAX Vulnerabilites

Bạn có thể tải file tại:
http://google-gruyere.appspot.com/gruyere-code.zip

Thông tin thêm:
http://google-gruyere.appspot.com/