Segurança em aplicações Ruby on Rails

Transcript

1. Segurança em aplicações Ruby on Rails Gabriel Sobrinho

2. Gabriel Sobrinho http://gabrielsobrinho.com/ @sobrinho

3. hite.com.br

4. Pingoou Acompanhe de forma simples e rápida o uptime da

   sua aplicação www.pingoou.com.br

5. Helpdeskee A forma mais simples de gerenciar seus tickets www.helpdeskee.com.br

6. None

7. Quem faz análise automática de segurança das aplicações?

8. Quem faz análise manual de segurança das aplicações?

9. Quem não faz análise de segurança?

10. None

11. Brechas de segurança • CSRF • XSS • redirect_to •

    link_to • expressões regulares • escalação de privilégio • mass assignment • css injection • img injection • sql injection • secret token • remote code injection
12. None

13. CSRF “O CSRF ... é um tipo de exploração maliciosa

    de um website pelo qual comandos não autorizados são transmitidos de um usuário que confia no website.” - Wikipedia

14. CSRF <!-- Adicione essa imagem no seu site para deslogar

    seus usuários do Google --> <img src=”http://www.google.com/ig/logout”>
15. None

16. CSRF class ApplicationController protect_from_forgery end

17. CSRF Rails não protege requisições GET!

18. CSRF # routes.rb match ‘/follow’, to: ‘followings#create’ match ‘/followers’, to:

    ‘followings#index’

19. CSRF <!-- Adicione essa imagem no seu site para todos

    os usuários que acessarem te seguirem --> <img src=”http://example.com/follow?uid=?”>

20. CSRF # routes.rb post ‘/follow’, to: ‘followings#create’ get ‘/followers’, to:

    ‘followings#index’

21. CSRF • Nunca use GET para requisições que mudam o

    estado da aplicação • Usar match normalmente é um sinal de arquitetura errada
22. None

23. XSS “Cross-site scripting (XSS) é um tipo de vulnerabilidade do

    sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários.” - Wikipedia

24. Rails automaticamente impede XSS!

25. XSS <script> var currentUser = <%= current_user.to_json %>; </script>

26. XSS POST /users?user[name]= </ script><script>alert(“p0wn3d!”)</script>

27. None

28. XSS <script> var currentUser = {id:1,name:”</ script><script>alert(\”p0wn3d\”);</script>; </script>

29. XSS <script> var currentUser = {id:1,name:”</ script><script>alert(\”p0wn3d\”);</script>; </script>

30. XSS <script> var currentUser = {id:1,name:”</ script><script>alert(”p0wn3d”);</script>; </script>

31. XSS • Não usar to_json nas views • Como escapar?

32. None

33. redirect_to http://example.com/follow?uid=1

34. redirect_to http://example.com/follow? uid=1&redirect_to=/users/1 http://example.com/follow? uid=1&redirect_to=/promotions

35. redirect_to class FollowingsController def create current_user.followings.create!(...) redirect_to params[:redirect_to] end end

36. redirect_to http://example.com/follow? uid=1&redirect_to=http://hacked- example.com/users/sign_in

37. redirect_to def create if params[:redirect_to] =~ /^\/[a-z]/ redirect_to params[:redirect_to] else

    redirect_to ... end end

38. redirect_to def create redirect_to params[:redirect_to], external: false end

39. redirect_to def create redirect_to params[:redirect_to], external: true end

40. None

41. link_to <%= link_to user.name, user.homepage %>

42. link_to POST /users? user[homepage]=javascript:alert(‘p0wn3d’)

43. link_to <a href=”javascript:alert(‘p0wn3d’)”>p0wn3d</ a>

44. link_to POST /users?user[homepage]=http:// example.com/follow? uid=1&redirect_to=http://example2.com/ users/sign_in

45. link_to class User validates :homepage, format: /^http(s):\/\// end

46. link_to • Valide o formato da URL informada pelo usuário

47. Protip

48. uri_validator https://github.com/sobrinho/uri_validator

49. None

50. Expressões Regulares %r{^http(s)?://} =~ ‘http://example.com/’ => 0 %r{^http(s)?://} =~ ‘javascript:alert(1)’

    => nil

51. Expressões Regulares %r{^http(s)?://} =~ “javascript:alert(1)\nhttp:// example.com/” => 20

52. Expressões Regulares ^$ casam com linhas novas \A\z casam com

    o texto completo Rails 4 adicionou warning/exception quando usar ^$ porque costuma ser um engano!

53. Expressões Regulares %r{\Ahttp(s)?://} =~ “javascript:alert(1)\nhttp://example.com/” => nil

54. None

55. Escalação de Privilégio “Usuário burla o sistema afim de realizar

    ações das quais ele não possui permissão”

56. Escalação de Privilégio def update @project = Project.find(params[:id]) @project.update_attributes(...) end

57. Escalação de Privilégio def update @project = current_user.projects.find(params[:id]) @project.update_attributes(...) end

58. Escalação de Privilégio • Sempre escope pelo usuário logado •

    Use alguma solução de permissão

59. Protip

60. Pundit https://github.com/elabs/pundit

61. None

62. Mass Assignment class IssuesController def create @issue = Issue.create(params[:issue]) respond_with

    @issue end end

63. Mass Assignment POST /issues issue[created_at]=3012-03-02T06:10:15-08:0 0

64. Mass Assignment

65. Mass Assignment POST /account/public_keys public_key[key]&public_key[user_id]=1

66. Mass Assignment

67. Mass Assignment class Issue attr_accessible :title, :body end

68. Mass Assignment def create @issue = Issue.create(issue_params) end def issue_params

    params.require(:issue).permit(:title, :body) end

69. Mass Assignment def create @issue = Issue.create(issue_params) end def issue_params

    params[:issue].slice(:title, :body) end

70. Mass Assignment • Sempre especifique no seu modelo quais atributos

    serão aceitos via mass assignment • Sempre especifique no seu controller quais atributos serão enviados ao modelo

71. Protip

72. Pundit + Strong Parameters

73. Pundit + Strong Params UserPolicy = Struct.new(:current_user, :user) do def

    permitted_attributes if current_user.admin? [:email, :password, :admin] else [:email, :password] end end end

74. Pundit + Strong Params def user_params params .require(:user) .permit(policy(@user).permitted_attributes) end

75. None

76. CSS Injection • Possível de ser executado apenas em alguns

    browsers (IE e Firefox) • Somente possível se a aplicação permitir o usuário definir algum estilo usando CSS

77. CSS Injection body { behavior: url(p0wned.htc); -moz-binding: url(p0wned.xml#main); width: expression(javascript

    code here); }

78. CSS Injection • Garanta que a entrada de dados está

    correta para a declaração • Cuidado com o problema das expressões regulares no ruby, use \A\z ao invés de ^$
79. None

80. SQL Injection def index @projects = Project.where(“status = #{params[:status]}”) end

81. SQL Injection GET /projects?status=0) UNION ALL SELECT ... FROM USERS

    --

82. SQL Injection SELECT ... FROM projects WHERE (status = ‘0’)

    UNION ALL SELECT ... FROM users --)

83. SQL Injection def index @projects = Project.where(status: params[:status]) end

84. SQL Injection def index @users = User.order(params[:column]) end

85. SQL Injection GET /users?order=(CASE WHEN (SELECT SUBSTRING(password, 1, 1) FROM

    users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

86. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

87. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

88. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

89. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

90. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

91. SQL Injection SELECT * FROM users ORDER BY (CASE WHEN

    (SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1) = ‘a’ THEN users.id ASC ELSE users.id DESC)

92. SQL Injection • Garimpar a senha com (tamanho da senha)

    consultas • Se a senha for encriptada, garimpar o hash e realizar brute force externo (lento) • Se a senha usar salt, garimpar o hash e o salt e realizar brute force externo (muito lento)

93. SQL Injection def index columns = [‘name’, ‘email’] if columns.include?(params[:column])

    @users = User.order(params[:column]) else @users = User.order(:name) end end

94. Protip

95. Não use solução própria de autenticação sem bons motivos!

96. Devise criptografa a senha com salt e pepper por padrão!

97. Métodos com a mesma brecha no active record • select

    • pluck • from • joins • where • order • group • having • lock • order • reorder

98. Métodos com a mesma brecha no active record • delete_all

    • destroy_all • update_all

99. Métodos com a mesma brecha no active record • average

    • calculate • count • maximum • minimum • sum

100. SQL Injection • Sempre use whitelist do que pode ser

     informado pelo usuário • ActiveRecord é um queijo suíço quando se trata de segurança!
101. None

102. Secret Token # config/initializers/secret_token Some::Application.config.secret_token = ‘secret token’

103. Secret Token • Permite decriptar e manipular a sessão •

     Permite execução remota de código ruby

104. Secret Token Some::Application.config.secret_token = if Rails.env.test? || Rails.env.development? ‘secret token’

     else ENV[‘SECRET_TOKEN’] end
105. None

106. Remote Code Injection class Attachment mount_uploader :file end

107. Remote Code Injection class FileUploader < CarrierWave::Uploader::Base end

108. Remote Code Injection • Apache poderá executar arquivos PHP se

     estiverem na pasta pública • O mesmo acontece no nginx e/ou outras linguagens configuradas no formato mod_php

109. Remote Code Injection class FileUploader < CarrierWave def extension_white_list %w(jpg

     jpeg gif png) end end

110. Remote Code Injection • Sempre faça whitelist das extensões •

     Se por algum motivo precisar permitir arquivos “executáveis”, tenha certeza de configurar corretamente o seu servidor

111. Protip

112. Amazon Simple Service Storage (S3)

113. None

114. Recomendações • Nunca confie em dados externos (usuários) • Sempre

     use whitelist ao invés de blacklist • Nunca confie no active record! • Mantenha suas aplicações atualizadas • Mantenha seus servidores atualizados

115. Obrigado!

116. Perguntas?

117. Obrigado!

118. hite.com.br

119. Referências • http://rails-sqli.org • http://www.tuxz.net/blog/archives/2010/11/21/sql_injection__exploiting_the_order_by_clause/ • http://jfire.io/blog/2012/04/30/how-to-securely-bootstrap-json-in-a-rails-view/ • https://speakerdeck.com/mkonda/rails-security-in-the-wild-chicago-ruby •

     https://speakerdeck.com/unativ/web-application-security-in-rails • https://speakerdeck.com/anthonylewis/rails-application-security • https://speakerdeck.com/homakov/rails-and-security • http://daniel.fone.net.nz/blog/2013/05/20/a-better-way-to-manage-the-rails-secret-token/