O documento discute vários tipos de ataques de segurança em aplicações web desenvolvidas com Ruby on Rails, incluindo ataques de sessão, Cross-Site Request Forgery, redirecionamento e injeção. Ele fornece exemplos desses ataques e possíveis soluções, como armazenar dados importantes no banco de dados em vez de sessões e pedir autenticação para ações críticas. O documento também menciona a ferramenta Brakeman para checagem estática de código em busca de vulnerabilidades.
2. Segurança
"A web foi projetada com pouca ou quase nenhuma
preocupação com segurança.”
• Integridade
• Confidenciabilidade
• Negação de Serviço
• Autenticação
Ameaças
3. Ruby on Rails
Framework WEB
• Foco na produtividade
• Criado para facilitar a vida do desenvolvedor
• Utiliza a linguagem de programação Ruby
10. Como ?
Pessoa está autenticada no site 1 e clica em algum link que
requer autenticação.
Exemplo: pessoa está no facebook e recebe o link de deletar a
conta camuflado em uma imagem “fofa”.
Cross-Site Request Forgery
CSRF
12. Redirect
Redirecionamento explicito na url, é perigoso pois pode
redirecionar para um site fake exatamente igual ao original
podendo obter usuário/senha do usuário.
13. Como ?
Basta aplicar um script que muda a página de
redirecionamento, como esse:
<!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") -->
Redirect
14. Como ?
Basta aplicar um script que muda a página de
redirecionamento, como esse:
<!-- $('.redirect').attr('href',"http://localhost:3000/users/app_details?url=http://terra.com.br") -->
Redirect