SlideShare ist ein Scribd-Unternehmen logo

Seguridad Rails con Brakeman

Cristián Rojas, MSc., CSSLP
Cristián Rojas, MSc., CSSLP

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Technologie
1 von 12
Downloaden Sie, um offline zu lesen
Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
¿Es Rails seguro?
¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
¿Qué hacemos?
gem install brakeman (perro)
Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
Demo
Sin embargo... ¿Será suficiente con Brakeman?
Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?

Empfohlen

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceFederico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsJosé María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impacienteMiguel Ángel Enríquez López
 

Empfohlen

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceFederico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsJosé María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impacienteMiguel Ángel Enríquez López
 
Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receñaMayra Salas
 
Paty
PatyPaty
PatyPatyChaves14
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Andres Felipe Sanchez
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80Faustino Iglesias Sierra
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del aguaEverth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografíamorelosyair
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa buenoReinaMorelos
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informaticoJOHANA_AUTAS_UAREZ
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidadsanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TICvcorzod
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación MiMAGA María Martínez García
 
Tp9
Tp9Tp9
Tp9sirioarabia
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casagisesala88
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGrupo de Acción Local GAL VALLETENZANO
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packagingJMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Perú Medicina Holistica
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladysestefania-rafael
 
Skipfish
Skipfish Skipfish
Skipfish Mauro Parra-Miranda
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 

Weitere ähnliche Inhalte

Andere mochten auch

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receñaMayra Salas
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Andres Felipe Sanchez
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del aguaEverth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografíamorelosyair
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidadsanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TICvcorzod
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casagisesala88
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packagingJMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Perú Medicina Holistica
 

Andere mochten auch (20)

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receña
 
Paty
PatyPaty
Paty
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del agua
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografía
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa bueno
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidad
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TIC
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación
 
Tp9
Tp9Tp9
Tp9
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casa
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligencia
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packaging
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladys
 

Ähnlich wie Seguridad Rails con Brakeman

In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosDaniel Gorria
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerTensor
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Carlos Camacho
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasCarlos Camacho
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHPSoftware Guru
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Dani Adastra
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesJobsket
 

Ähnlich wie Seguridad Rails con Brakeman (20)

Skipfish
Skipfish Skipfish
Skipfish
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scanner
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Lenguaje de programación Java
Lenguaje de programación Java Lenguaje de programación Java
Lenguaje de programación Java
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - Sistemas
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Skipfish
SkipfishSkipfish
Skipfish
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHP
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agiles
 

Mehr von Cristián Rojas, MSc., CSSLP

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosCristián Rojas, MSc., CSSLP
 

Mehr von Cristián Rojas, MSc., CSSLP (7)

Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
 

Kürzlich hochgeladen

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Kürzlich hochgeladen (10)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Seguridad Rails con Brakeman

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 3. ¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
  • 4. ¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
  • 7. Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 10.
  • 11. Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 12. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?