com Ruby on Rails
Segurança
+
Segurança
"A web foi projetada com pouca ou quase nenhuma
preocupação com segurança.”
• Integridade
• Confidenciabilidade
•...
Ruby on Rails
Framework WEB
• Foco na produtividade
• Criado para facilitar a vida do desenvolvedor
• Utiliza a linguagem ...
Tipos de Ataques
Sessões
Cross-Site Request Forgery (CSRF)
Redirecionamento
Arquivos
Gerenciamento do usuário
Injeção
Headers
Geração de qu...
Replay Attach
Sessões
Alterar o valor de uma sessão
Replay Attach
Sessões
Como ?
document.cookie = "saldo=200"
Replay Attach
Sessões
Solução
Guardar valores importantes no banco de dados, dados em
sessões somente genéricos.
Dados que...
Cross-Site Request Forgery
CSRF
Insere código ou link malioso no código que acredita estar
numa página autenticada.
Como ?
Pessoa está autenticada no site 1 e clica em algum link que
requer autenticação.
Exemplo: pessoa está no facebook e...
Cross-Site Request Forgery
CSRF
Solução
Pedir usuário/senha para ações importantes
Redirect
Redirecionamento explicito na url, é perigoso pois pode
redirecionar para um site fake exatamente igual ao origin...
Como ?
Basta aplicar um script que muda a página de
redirecionamento, como esse:
<!-- $('.redirect').attr('href',"http://l...
Como ?
Basta aplicar um script que muda a página de
redirecionamento, como esse:
<!-- $('.redirect').attr('href',"http://l...
E muito mais..
Ferramenta estática de checagem de código para detecção de
vulnerabilidades de segurança
Para instalar: gem install brakem...
Perguntas
?
Próximos SlideShares
Carregando em…5
×

Conceitos de segurança em Ruby on Rails

248 visualizações

Publicada em

Conceitos de segurança com o framework Ruby on Rails ataques mais comuns em web e alguns exemplos de ataques que podem ser efetuados em aplicações desprotegidas.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
248
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Conceitos de segurança em Ruby on Rails

  1. 1. com Ruby on Rails Segurança +
  2. 2. Segurança "A web foi projetada com pouca ou quase nenhuma preocupação com segurança.” • Integridade • Confidenciabilidade • Negação de Serviço • Autenticação Ameaças
  3. 3. Ruby on Rails Framework WEB • Foco na produtividade • Criado para facilitar a vida do desenvolvedor • Utiliza a linguagem de programação Ruby
  4. 4. Tipos de Ataques
  5. 5. Sessões Cross-Site Request Forgery (CSRF) Redirecionamento Arquivos Gerenciamento do usuário Injeção Headers Geração de query inseguras Segurança de ambiente
  6. 6. Replay Attach Sessões Alterar o valor de uma sessão
  7. 7. Replay Attach Sessões Como ? document.cookie = "saldo=200"
  8. 8. Replay Attach Sessões Solução Guardar valores importantes no banco de dados, dados em sessões somente genéricos. Dados que deverão ser checados a cada atualização.
  9. 9. Cross-Site Request Forgery CSRF Insere código ou link malioso no código que acredita estar numa página autenticada.
  10. 10. Como ? Pessoa está autenticada no site 1 e clica em algum link que requer autenticação. Exemplo: pessoa está no facebook e recebe o link de deletar a conta camuflado em uma imagem “fofa”. Cross-Site Request Forgery CSRF
  11. 11. Cross-Site Request Forgery CSRF Solução Pedir usuário/senha para ações importantes
  12. 12. Redirect Redirecionamento explicito na url, é perigoso pois pode redirecionar para um site fake exatamente igual ao original podendo obter usuário/senha do usuário.
  13. 13. Como ? Basta aplicar um script que muda a página de redirecionamento, como esse: <!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") --> Redirect
  14. 14. Como ? Basta aplicar um script que muda a página de redirecionamento, como esse: <!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") --> Redirect
  15. 15. E muito mais..
  16. 16. Ferramenta estática de checagem de código para detecção de vulnerabilidades de segurança Para instalar: gem install brakeman Demonstração
  17. 17. Perguntas ?

×