Security Testing para Rails

  • 498 views
Uploaded on

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
498
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 2. ¿Es Rails seguro?
  • 3. ¿Entonces por qué no probamos seguridad?def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => " OR 1=1" click_button "Ingresar" response.should_not contain("bienvenido,")end
  • 4. ¿Qué vulnerabilidades puede haber?● Cross site scripting (XSS)● SQL injection● Command injection● Cross-Site Request Forgery (CSRF)● Redirecciones no protegidas● Acceso inseguro a archivos● Rutas por defecto● Validación insuficiente de modelos● Abuso de mass assignment● Uso peligroso de eval()● …etc.
  • 5. ¿Qué hacemos?
  • 6. gem install brakeman (perro)
  • 7. Brakeman● Es un analizador estático● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 8. Demo
  • 9. Sin embargo...¿Será suficiente con Brakeman?
  • 10. Recursos● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html● Analizador Estático Brakeman: http://brakemanscanner.org/● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 11. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?