Security Testing para Rails
Upcoming SlideShare
Loading in...5
×
 

Security Testing para Rails

on

  • 809 views

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Statistics

Views

Total Views
809
Views on SlideShare
782
Embed Views
27

Actions

Likes
0
Downloads
3
Comments
0

2 Embeds 27

https://twitter.com 26
https://si0.twimg.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Security Testing para Rails Security Testing para Rails Presentation Transcript

  • Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • ¿Es Rails seguro?
  • ¿Entonces por qué no probamos seguridad?def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => " OR 1=1" click_button "Ingresar" response.should_not contain("bienvenido,")end
  • ¿Qué vulnerabilidades puede haber?● Cross site scripting (XSS)● SQL injection● Command injection● Cross-Site Request Forgery (CSRF)● Redirecciones no protegidas● Acceso inseguro a archivos● Rutas por defecto● Validación insuficiente de modelos● Abuso de mass assignment● Uso peligroso de eval()● …etc.
  • ¿Qué hacemos?
  • gem install brakeman (perro)
  • Brakeman● Es un analizador estático● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • Demo
  • Sin embargo...¿Será suficiente con Brakeman?
  • Recursos● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html● Analizador Estático Brakeman: http://brakemanscanner.org/● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?