Security Testing para Rails   Cristián Rojas   Especialista en Seguridad de Software   Inexperto en desarrollo Ruby/Rails
¿Es Rails seguro?
¿Entonces por qué no probamos seguridad?def test_sql_injection  visit "http://www.misitiobacan.cl"  fill_in "user", :with ...
¿Qué vulnerabilidades puede haber?●    Cross site scripting (XSS)●    SQL injection●    Command injection●    Cross-Site R...
¿Qué hacemos?
gem install brakeman        (perro)
Brakeman●    Es un analizador estático●    Detecta vulnerabilidades:    –   Que nosotros introducimos en        nuestras a...
Demo
Sin embargo...¿Será suficiente con Brakeman?
Recursos●    Ruby on Rails Security Guide:    http://guides.rubyonrails.org/security.html●    Analizador Estático Brakeman...
Muchas gracias por   su atención.   ¿Preguntas?  ¿Comentarios?
Security Testing para Rails
Upcoming SlideShare
Loading in...5
×

Security Testing para Rails

549

Published on

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
549
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security Testing para Rails

  1. 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  2. 2. ¿Es Rails seguro?
  3. 3. ¿Entonces por qué no probamos seguridad?def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => " OR 1=1" click_button "Ingresar" response.should_not contain("bienvenido,")end
  4. 4. ¿Qué vulnerabilidades puede haber?● Cross site scripting (XSS)● SQL injection● Command injection● Cross-Site Request Forgery (CSRF)● Redirecciones no protegidas● Acceso inseguro a archivos● Rutas por defecto● Validación insuficiente de modelos● Abuso de mass assignment● Uso peligroso de eval()● …etc.
  5. 5. ¿Qué hacemos?
  6. 6. gem install brakeman (perro)
  7. 7. Brakeman● Es un analizador estático● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  8. 8. Demo
  9. 9. Sin embargo...¿Será suficiente con Brakeman?
  10. 10. Recursos● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html● Analizador Estático Brakeman: http://brakemanscanner.org/● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  11. 11. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×