Gruyere: Das Hackme von Google
Google hat mit Gruyere ein ziemlich umfassendes Hackme auf Google App Engine veröffentlicht, das je nach vorliebe des Benutzers große Angriffsfläche für Black- und White-Box Security Audits bietet. Die Webapplikation ist in Python geschrieben und inklusive Sourcecode verfügbar. Jeder “Sicherheitstester” bekommt seine eigene Instanz der Webapplikation und kann sich in dieser Sandbox nach belieben austoben.
Dazu kommt, dass alle existierenden Sicherheitslücken kategorisiert und mit Tipps und Beispielexploits versehen sind. Der spielhafte Charakter mit detaillierten Beschreibungen der zu Grunde liegenden Bugs anhand von Beispielcode erlaubt es auch Anfängern viele Facetten der Sicherheitsprobleme von Webapplikationen zu verstehen.
Hat man Gruyere erst einmal ausprobiert, kann sich jeder vorstellen wie Code Execution, Denial of Service, XSS, CSRF und weitere Designfehler zustande kommen und zum eigenen Profit eingesetzt werden können.
