Baixar para ler offline
Conceitos de segurança em Ruby on Rails
- 1. com Ruby onRails Segurança +
- 2. Segurança "A web foiprojetada com pouca ou quase nenhuma preocupação com segurança.” • Integridade • Confidenciabilidade • Negação de Serviço • Autenticação Ameaças
- 3. Ruby on Rails FrameworkWEB • Foco na produtividade • Criado para facilitar a vida do desenvolvedor • Utiliza a linguagem de programação Ruby
- 4.
- 5. Sessões Cross-Site Request Forgery(CSRF) Redirecionamento Arquivos Gerenciamento do usuário Injeção Headers Geração de query inseguras Segurança de ambiente
- 6. Replay Attach Sessões Alterar ovalor de uma sessão
- 7. Replay Attach Sessões Como ? document.cookie= "saldo=200"
- 8. Replay Attach Sessões Solução Guardar valoresimportantes no banco de dados, dados em sessões somente genéricos. Dados que deverão ser checados a cada atualização.
- 9. Cross-Site Request Forgery CSRF Inserecódigo ou link malioso no código que acredita estar numa página autenticada.
- 10. Como ? Pessoa estáautenticada no site 1 e clica em algum link que requer autenticação. Exemplo: pessoa está no facebook e recebe o link de deletar a conta camuflado em uma imagem “fofa”. Cross-Site Request Forgery CSRF
- 11. Cross-Site Request Forgery CSRF Solução Pedirusuário/senha para ações importantes
- 12. Redirect Redirecionamento explicito naurl, é perigoso pois pode redirecionar para um site fake exatamente igual ao original podendo obter usuário/senha do usuário.
- 13. Como ? Basta aplicarum script que muda a página de redirecionamento, como esse: <!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") --> Redirect
- 14. Como ? Basta aplicarum script que muda a página de redirecionamento, como esse: <!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") --> Redirect
- 15.
- 16. Ferramenta estática dechecagem de código para detecção de vulnerabilidades de segurança Para instalar: gem install brakeman Demonstração
- 17.