Security Testing para Rails
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Security Testing para Rails

on

  • 830 views

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Statistics

Views

Total Views
830
Views on SlideShare
803
Embed Views
27

Actions

Likes
0
Downloads
3
Comments
0

2 Embeds 27

https://twitter.com 26
https://si0.twimg.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Security Testing para Rails Presentation Transcript

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 2. ¿Es Rails seguro?
  • 3. ¿Entonces por qué no probamos seguridad?def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => " OR 1=1" click_button "Ingresar" response.should_not contain("bienvenido,")end
  • 4. ¿Qué vulnerabilidades puede haber?● Cross site scripting (XSS)● SQL injection● Command injection● Cross-Site Request Forgery (CSRF)● Redirecciones no protegidas● Acceso inseguro a archivos● Rutas por defecto● Validación insuficiente de modelos● Abuso de mass assignment● Uso peligroso de eval()● …etc.
  • 5. ¿Qué hacemos?
  • 6. gem install brakeman (perro)
  • 7. Brakeman● Es un analizador estático● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 8. Demo
  • 9. Sin embargo...¿Será suficiente con Brakeman?
  • 10. Recursos● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html● Analizador Estático Brakeman: http://brakemanscanner.org/● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 11. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?