Trainers: Gruyere

Gruyere (Грюйер, назван в честь одномённого сорта сыра) — веб-приложение для тренировки поиска уязвимостей, разработанное Google. Может работать как удалённо без установки (https://google-gruyere.appspot.com/start) — этот вариант весьма удобен, так и локально (все файлы сайта — https://google-gruyere.appspot.com/gruyere-code.zip). Само приложение написано на Python, но его знание не требуется если вы хотите просто потренироваться ломать этот сайт :), однако будет полезным если вы захотите (а вдруг?) исследовать исходный код и пофиксить баги.

Что можно потестить/повнедрять на этом сайте (ниже указаны ссылки на лекции-задания):

Нужно отметить, что сайт не использует SQL, т.е. SQL Injection потестить не получится.

Напоследок, нужно отметить, что в случае с онлайн-версией каждому пользователю генерируется уникальная сессия (обратите внимание на номер в адресной строке) в sandbox, т.е. у каждого тестировщика будет своя копия сайта и чьи-то эксплоиты не смогут вам повредить когда вы зайдёте на сайт. При этом всегда можно скопировать ссылку, содержащую ваш номер сессии, чтобы например показать коллеге найденную уязвимость.

Gruyere_Main_blog

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.