Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Django, um framework seguro: por que e como?

Avatar for David Pierre David Pierre
April 01, 2019
Programming
0
34

Django, um framework seguro: por que e como?

Resumo: Django é conhecido por ser um framework bastante completo, inclusive quando se trata de segurança. Nessa palestra vou apresentar o que Django faz para proteger seus usuários e desenvolvedores de forma ‘out-of-the-box’ e vamos ver, de forma simplificada, como o framework implementa esses recursos por baixo dos panos.

1. Introdução
1.1. O que é Django?
1.2. Por que Django é considerado seguro?
2. De que e como Django nos protege? (Exemplos)
2.1. XSS
2.2. SQLi
2.3. CSRF
2.4. Clickjacking
2.5. Host Header Validation
2.6. Senhas
3. Escolhi não usar essas proteções: como faço?
3.1. XSS
3.2. SQLi
3.3. CSRF
3.4. Clickjacking
4. Como tornar Django ainda mais seguro?

Avatar for David Pierre

David Pierre

April 01, 2019
Tweet

Other Decks in Programming

See All in Programming
SourceGeneratorのススメ
Avatar for tkym htkym
0
200
AgentCoreとHuman in the Loop
Avatar for Har1101 har1101
5
240
AIで開発はどれくらい加速したのか?AIエージェントによるコード生成を、現場の評価と研究開発の評価の両面からdeep diveしてみる
Avatar for どすこい daisuketakeda
1
2.5k
ぼくの開発環境2026
Avatar for yuzneri yuzneri
0
240
Best-Practices-for-Cortex-Analyst-and-AI-Agent
Avatar for ryotaro.ikeda@finatext.com ryotaroikeda
1
110
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
180
Amazon Bedrockを活用したRAGの品質管理パイプライン構築
Avatar for とすり tosuri13
5
740
AIによるイベントストーミング図からのコード生成 / AI-powered code generation from Event Storming diagrams
Avatar for nrs nrslib
2
1.9k
疑似コードによるプロンプト記述、どのくらい正確に実行される?
Avatar for kokuyouwind kokuyouwind
0
390
コントリビューターによるDenoのすゝめ / Deno Recommendations by a Contributor
Avatar for petamoriken / 森建 petamoriken
0
200
CSC307 Lecture 08
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
670
例外処理とどう使い分ける?Result型を使ったエラー設計 #burikaigi
Avatar for Takuma Kajikawa kajitack
16
6.1k

Featured

See All Featured
Design in an AI World
Avatar for tapps tapps
0
140
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
220
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
130
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
450
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
76
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
54
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.5k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
100
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
0
57
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
190
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
68

Transcript

  1. Django, um framework seguro: por que e como?

  2. Olar ◦ Recife ◦ Estudante de Ciência da Computação (UFRPE)

    ◦ Estagiário em desenvolvimento web na Intelivix ◦ Entusiasta de segurança David Pierre github.com/davidpierre21 davidpierre21.github.io @davidpierrea 2

  3. 1. O que é Django?

  4. 4

  5. “ Django takes security seriously and helps developers avoid many

    common security mistakes. 5

  6. 2. Django é realmente seguro?

  7. Cross-Site Scripting XSS

  8. Como o django nos protege 8 https://github.com/django/django/blob/master/django/utils/html.py

  9. SQLi SQL Injection

  10. Como o django nos protege

  11. CSRF Cross-Site Request Forgery

  12. Como o django nos protege 12 https://github.com/django/django/blob/master/django/middleware/csrf.py

  13. Clickjacking Clickjacking...

  14. Como o django nos protege 14 https://github.com/django/django/blob/master/django/middleware/clickjacking.py

  15. Host Header Validation

  16. Como o django nos protege 16 https://github.com/django/django/blob/master/django/http/request.py#L95

  17. Senhas admin123

  18. Como o django nos protege 18 https://github.com/django/django/blob/master/django/contrib/auth/hashers.py

  19. 2. E se eu não quiser usar alguma dessas precauções?

  20. 20 XSS ◦ mark_safe() ◦ | n ◦ | safe

  21. SQLi 21 ◦ .extra() ◦ RawSQL() ◦ .raw()

  22. CSRF 22 https://github.com/django/django/blob/master/django/views/decorators/csrf.py#L49

  23. Clickjacking 23 https://github.com/django/django/blob/master/django/views/decorators/clickjacking.py#L40

  24. 3. Como tornar o django ainda mais seguro?

  25. 25 Obrigado! Dúvidas? @davidpierrea github.com/davidpierre21 [email protected]