Google a lansat un nou joc cu care isi doreste sa invete dezvoltatorii de aplicatii web cum sa depisteze bug-uri de cross-site scripting (XSS) in codul lor.
Vulnerabilitatile XSS sunt extrem de frecvente in website-uri si pot fi destul de periculoase. De fapt, Google plateste pana la 7.500 dolari pentru bug-uri XSS descoperite in produsele sale importante.
Jocul XSS Game, care necesita un browser web modern cu JavaScript si cookie-uri activate, se adreseaza in principal dezvoltatorilor de aplicatii web care nu sunt specializati pe securitate. Cu toate acestea, Google este de parere ca pana si expertii in securitate ar putea invata cateva lucruri noi, chiar daca primele nivele li se pot parea usoare.
“Acest joc este format din mai multe nivele ce simuleaza aplicatii din lumea reala care sunt vulnerabile la XSS. Sarcina jucatorului este sa gaseasca bug-ul si sa-l exploateze, cam cum ar face-o un hacker in viata reala. Bug-urile XSS sunt frecvente in cazul aplicatiilor web, iar intentia noastra este de a evidentia anumite pattern-uri comune de coding care duc la aparitia lor, pentru a le putea depista in codul sursa” a mentionat Google.
Jocul XSS Game nu este primul joc de acest tip de la Google. In 2010, compania a lansat Gruyere, o aplicatie web conceputa pentru a invata dezvoltatorii sa identifice si sa combata XSS, CSRF (cross-site request forgery), scurgeri de informatii, atacuri de tip denial-of-service (DoS) si vulnerabilitati ce permit executarea de cod de la distanta.
Aceste aplicatii de la Google pot fi foarte utile si clientilor de hosting care au cunostinte tehnice minime si care doresc sa-si securizeze site-urile.