[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
•
1 like•338 views
OWASP-TR Uygulama Güvenliği Günü 2016 Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (7)
Similar to [OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
Similar to [OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik (20)
More from OWASP Turkiye
More from OWASP Turkiye (9)
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
- 1. Uygulama GüvenliğiUygulama Güvenliği && Özgür Yazılım ve Linux GünleriÖzgür Yazılım ve Linux Günleri 20162016
- 2. Ruby on Rails Web FrameworkRuby on Rails Web Framework veve GüvenlikGüvenlik
- 3. Muhammet DilmaçMuhammet Dilmaç [*] Karabük Üniversitesi - Bilgisayar Mühendisliği [*] ADEO - Siber Güvenlik Danışmanı [*] Pisi Linux - Geliştiricisi [*] Geliştirici
- 4. WEBWEB [*] HTTP/ - 1990 [*] Artan istekler [*] Statik sayfalardan -> Dinamik Sayfalara [*] Sade mimariden -> Karmaşık mimariye
- 5. Web DevelopmentWeb Development [*] Bir zamanlar dünya çok güzeldi HTML bile yoktu. [*] Sonra HTML/CSS ve JS geldi. [*] Ve diğerleri... [*] FrontEnd - BackEnd ve Designer
- 6. BackEndBackEnd [*] Sunucu tarafında yapılan web yazılımı bacağı. [*] Gözükmeyen abiler. [*] İş çok... [*] Web Çatısı
- 7. Ruby on RailsRuby on Rails [*] Ruby ile geliştirildi.(2005) [*] Açık kaynak kodlu. [*] (M)odel(V)iew(C)ontroller [*] Don't repeat yourself! [*] Keyifli kod ^^
- 8. SecuritySecurity [*] Güvenlik zafiyetleri sadece klasik PHP'de yoktur. [*] Framework kullanıyorum beni bağlamaz değil :) [*] Yazılımcı bağımsız değildir!
- 9. SQL InjectionSQL Injection [*] Active Record [*] Elle SQL sorgusu yazma ihtiyacı [*] O değişkeni o sorguya bodozlama katma kardeşim :( [*] Mutlaka Prepare Statement'ı kullanın!
- 10. XSSXSS [*] Gelen geçsin, geçen gitsin ile olmaz bu işler :( [*] HTML Safe dedikte gerçekten de safe mi? [*] Sanitize ile çıktı kontrol edilmeli! [*] Loofah ile girdiler kontrol edilmeli!
- 11. CSRFCSRF [*] Ruby on Rails kullanıcısıysanız pek bir derdiniz yok bu konuda zira application controller'da bunun için korumamız mevcuttur. (protect_from_forgery with: :exception)
- 12. Security HeadersSecurity Headers [*] Güvenlik amaçlı kullanılan bir çok http headerı twitter tarafından yayınlanan secureheaders gemi ile edinebilirsiniz. Bulunan headerlar; [*] Content Security Policy [*] HTTP Strict Transport Security [*] X-Frame-Options [*] X-XSS-Protection [*] X-Content-Type-Options [*] X-Download-Options [*] X-Permitted-Cross-Domain-Policies [*] Public Key Pinning
- 13. Static Code AnalyzStatic Code Analyz [*] Çeşitli statik kod inceleme araçları ile yazmış olduğunuz kodları inceletebilir ve bir sorun var ise sizi uyarmalarını sağlayabilirsiniz. Buna örnek olabilecek araçlarımız; [*] Brakeman [*] CodeSake Dawn
- 14. ÖnerilenlerÖnerilenler [*] Kullanıcı yetkisine göre parametre ayarlamayı unutmayın :( [*] Mutlaka hackerone gibi bug bounty programları yapan yerleri takip edin. [*] SSH güvenliğini önemseyin. [*] Dinç kafa ile yazın :( [*] Kodları lütfen inceletin. [*] Kullandığınız gemleri mutlaka inceleyin(star, issue, last commit)
- 15. ContactContact [*] Twitter: /m_dilmac [*] Github: /MuhammetDilmac [*] Mail: iletisim@muhammetdilmac.com.tr