Nessa talk veremos os vetores de ataque mais utilizados para hackear aplicações Rails e o que pode ser feito para eveitar isso. Ao final, um exemplo prático de como é possível construir uma botnet explorando apps desatualizadas.
Configs ● não salve configs no repositório; ● use variáveis de ambiente; ● inserir arquivo de config apenas na hora do deploy; ● SECRET TOKEN / config/secrets.yml
Session Hijacking ● cookies para identificação de users; ○ hacker pode roubar o cookie de um user ● SSL em todo processo de autenticação; ○ config.force_ssl = true ● user inativo? ○ expire a sessão! Mantenha tudo atualizado sempre!
Ainda tem muito mais! ● Updates! ○ Updates no server (kernel); ○ Updates nos softwares do server; ○ Updates no framework; ○ Updates nas dependências do projeto; ○ Updates everywhere!
O que mais posso fazer ? ● http://www.ubuntu.com/usn/ ● https://www.ruby-lang.org/en/security/ ● http://nginx.org/en/security_advisories.html ● http://guides.rubyonrails.org/security.html
infoslack
makamaka
aiji42
oracle4engineer
fixstars
asazutaiga
carta_engineering
shimashima35
masashi_sutou
tarao
nasa9084
foursue
chiroruxx
eileencodes
rocio
kneath
ufuk
skipperchong
scottboms
andyhume
chriscoyier
denniskardys
deanohume
chrislema
moore