SlideShare ist ein Scribd-Unternehmen logo

Seguridad Rails con Brakeman

Cristián Rojas, MSc., CSSLP
Cristián Rojas, MSc., CSSLP

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Technologie
1 von 12
Downloaden Sie, um offline zu lesen
Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
¿Es Rails seguro?
¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
¿Qué hacemos?
gem install brakeman (perro)
Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
Demo
Sin embargo... ¿Será suficiente con Brakeman?
Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?

Empfohlen

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceFederico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsJosé María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impacienteMiguel Ángel Enríquez López
 

Empfohlen

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceFederico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsJosé María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impacienteMiguel Ángel Enríquez López
 
Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receñaMayra Salas
 
Paty
PatyPaty
PatyPatyChaves14
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Andres Felipe Sanchez
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80Faustino Iglesias Sierra
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del aguaEverth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografíamorelosyair
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa buenoReinaMorelos
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informaticoJOHANA_AUTAS_UAREZ
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidadsanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TICvcorzod
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación MiMAGA María Martínez García
 
Tp9
Tp9Tp9
Tp9sirioarabia
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casagisesala88
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGrupo de Acción Local GAL VALLETENZANO
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packagingJMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Perú Medicina Holistica
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladysestefania-rafael
 
Skipfish
Skipfish Skipfish
Skipfish Mauro Parra-Miranda
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 

Weitere ähnliche Inhalte

Andere mochten auch

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receñaMayra Salas
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Andres Felipe Sanchez
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del aguaEverth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografíamorelosyair
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidadsanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TICvcorzod
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casagisesala88
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packagingJMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Perú Medicina Holistica
 

Andere mochten auch (20)

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receña
 
Paty
PatyPaty
Paty
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del agua
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografía
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa bueno
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidad
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TIC
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación
 
Tp9
Tp9Tp9
Tp9
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casa
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligencia
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packaging
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladys
 

Ähnlich wie Seguridad Rails con Brakeman

In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosDaniel Gorria
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerTensor
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Carlos Camacho
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasCarlos Camacho
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHPSoftware Guru
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Dani Adastra
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesJobsket
 

Ähnlich wie Seguridad Rails con Brakeman (20)

Skipfish
Skipfish Skipfish
Skipfish
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scanner
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Lenguaje de programación Java
Lenguaje de programación Java Lenguaje de programación Java
Lenguaje de programación Java
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - Sistemas
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Skipfish
SkipfishSkipfish
Skipfish
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHP
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agiles
 

Mehr von Cristián Rojas, MSc., CSSLP

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosCristián Rojas, MSc., CSSLP
 

Mehr von Cristián Rojas, MSc., CSSLP (7)

Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
 

Kürzlich hochgeladen

LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxkimontey
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadEduardoSantiagoSegov
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 

Kürzlich hochgeladen (20)

LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedad
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 

Seguridad Rails con Brakeman

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 3. ¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
  • 4. ¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
  • 7. Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 10.
  • 11. Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 12. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?