Django, um framework seguro: por que e como?

Transcript

1. Django, um framework seguro: por que e como?

2. Olar ◦ Recife ◦ Estudante de Ciência da Computação (UFRPE)

   ◦ Estagiário em desenvolvimento web na Intelivix ◦ Entusiasta de segurança David Pierre github.com/davidpierre21 davidpierre21.github.io @davidpierrea 2

3. 1. O que é Django?

4. 4

5. “ Django takes security seriously and helps developers avoid many

   common security mistakes. 5

6. 2. Django é realmente seguro?

7. Cross-Site Scripting XSS

8. Como o django nos protege 8 https://github.com/django/django/blob/master/django/utils/html.py

9. SQLi SQL Injection

10. Como o django nos protege

11. CSRF Cross-Site Request Forgery

12. Como o django nos protege 12 https://github.com/django/django/blob/master/django/middleware/csrf.py

13. Clickjacking Clickjacking...

14. Como o django nos protege 14 https://github.com/django/django/blob/master/django/middleware/clickjacking.py

15. Host Header Validation

16. Como o django nos protege 16 https://github.com/django/django/blob/master/django/http/request.py#L95

17. Senhas admin123

18. Como o django nos protege 18 https://github.com/django/django/blob/master/django/contrib/auth/hashers.py

19. 2. E se eu não quiser usar alguma dessas precauções?

20. 20 XSS ◦ mark_safe() ◦ | n ◦ | safe

21. SQLi 21 ◦ .extra() ◦ RawSQL() ◦ .raw()

22. CSRF 22 https://github.com/django/django/blob/master/django/views/decorators/csrf.py#L49

23. Clickjacking 23 https://github.com/django/django/blob/master/django/views/decorators/clickjacking.py#L40

24. 3. Como tornar o django ainda mais seguro?

25. 25 Obrigado! Dúvidas? @davidpierrea github.com/davidpierre21 [email protected]