Your SlideShare is downloading. ×
Security Testing para Rails
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Security Testing para Rails

523
views

Published on

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
523
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 2. ¿Es Rails seguro?
  • 3. ¿Entonces por qué no probamos seguridad?def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => " OR 1=1" click_button "Ingresar" response.should_not contain("bienvenido,")end
  • 4. ¿Qué vulnerabilidades puede haber?● Cross site scripting (XSS)● SQL injection● Command injection● Cross-Site Request Forgery (CSRF)● Redirecciones no protegidas● Acceso inseguro a archivos● Rutas por defecto● Validación insuficiente de modelos● Abuso de mass assignment● Uso peligroso de eval()● …etc.
  • 5. ¿Qué hacemos?
  • 6. gem install brakeman (perro)
  • 7. Brakeman● Es un analizador estático● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 8. Demo
  • 9. Sin embargo...¿Será suficiente con Brakeman?
  • 10. Recursos● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html● Analizador Estático Brakeman: http://brakemanscanner.org/● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 11. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?

×