Googles Jarlsberg-Server: löchrig wie ein norwegischer Käse

Google hat ein Online-Tutorial für Webentwickler zur Verfügung gestellt, mit dem sich typische Sicherheitslücken praktisch ausprobieren lassen. Das Tutorial besteht im Wesentlichen aus zwei Elementen: Die mit Absicht unsicher programmierte Mini-Blog-Anwendung Jarlsberg (nach dem norwegischen Käse benannt) sowie ein Leitfaden, welche Schwachstelle Jarlsberg aufweisen könnte und wie man diese findet.

Der zu Googles Code University gehörende Kurs liefert dazu unter anderem in Rubriken für Cross-Site-Scripting, Path-Traversal, Code Execution und Denial-of-Service kleine Denkanstöße, wie man die jeweiligen Lücken ausnutzen könnte. Wer nicht selbst daraufkommt, findet am Ende jedes Abschnitts die Lösung – nebst einem Vorschlag, wie man die Lücke schließen kann.

Der Kurs ist online verfügbar, Google bietet den in Python geschriebenen Jarlsberg-Server aber auch zum Download an. Aus Sicherheitsgründen lasst sich dieser nach der Installation aber nur per localhost ansprechen. Um die Lücken zu finden, ist aber keine Analyse des Source-Codes notwendig.

Nicht alle Lücken lassen sich mit dem Browser ausnutzen. Um zum Beispiel eine bestimmte Datei via Path-Traversal herunterzuladen, benötigt man das Kommandozeilen-Tool curl, da viele Browser URLs wie http://jarlsberg.appspot.com/305378746796/../secret.txt einfach in http://jarlsberg.appspot.com/secret.txt umwandeln und sich die Schwachstelle so nicht ausnutzen lässt. (dab)