2. Ruby on Rails Web FrameworkRuby on Rails Web Framework
veve
GüvenlikGüvenlik
3. Muhammet DilmaçMuhammet Dilmaç
[*] Karabük Üniversitesi - Bilgisayar Mühendisliği
[*] ADEO - Siber Güvenlik Danışmanı
[*] Pisi Linux - Geliştiricisi
[*] Geliştirici
4. WEBWEB
[*] HTTP/ - 1990
[*] Artan istekler
[*] Statik sayfalardan -> Dinamik Sayfalara
[*] Sade mimariden -> Karmaşık mimariye
5. Web DevelopmentWeb Development
[*] Bir zamanlar dünya çok güzeldi HTML bile yoktu.
[*] Sonra HTML/CSS ve JS geldi.
[*] Ve diğerleri...
[*] FrontEnd - BackEnd ve Designer
7. Ruby on RailsRuby on Rails
[*] Ruby ile geliştirildi.(2005)
[*] Açık kaynak kodlu.
[*] (M)odel(V)iew(C)ontroller
[*] Don't repeat yourself!
[*] Keyifli kod ^^
9. SQL InjectionSQL Injection
[*] Active Record
[*] Elle SQL sorgusu yazma ihtiyacı
[*] O değişkeni o sorguya bodozlama katma kardeşim :(
[*] Mutlaka Prepare Statement'ı kullanın!
10. XSSXSS
[*] Gelen geçsin, geçen gitsin ile olmaz bu işler :(
[*] HTML Safe dedikte gerçekten de safe mi?
[*] Sanitize ile çıktı kontrol edilmeli!
[*] Loofah ile girdiler kontrol edilmeli!
11. CSRFCSRF
[*] Ruby on Rails kullanıcısıysanız pek bir derdiniz yok bu
konuda zira application controller'da bunun için korumamız
mevcuttur. (protect_from_forgery with: :exception)
12. Security HeadersSecurity Headers
[*] Güvenlik amaçlı kullanılan bir çok http headerı twitter tarafından yayınlanan
secureheaders gemi ile edinebilirsiniz.
Bulunan headerlar;
[*] Content Security Policy
[*] HTTP Strict Transport Security
[*] X-Frame-Options
[*] X-XSS-Protection
[*] X-Content-Type-Options
[*] X-Download-Options
[*] X-Permitted-Cross-Domain-Policies
[*] Public Key Pinning
13. Static Code AnalyzStatic Code Analyz
[*] Çeşitli statik kod inceleme araçları ile yazmış olduğunuz kodları inceletebilir ve bir sorun
var ise sizi uyarmalarını sağlayabilirsiniz.
Buna örnek olabilecek araçlarımız;
[*] Brakeman
[*] CodeSake Dawn
14. ÖnerilenlerÖnerilenler
[*] Kullanıcı yetkisine göre parametre ayarlamayı unutmayın :(
[*] Mutlaka hackerone gibi bug bounty programları yapan yerleri takip edin.
[*] SSH güvenliğini önemseyin.
[*] Dinç kafa ile yazın :(
[*] Kodları lütfen inceletin.
[*] Kullandığınız gemleri mutlaka inceleyin(star, issue, last commit)