SlideShare una empresa de Scribd logo

Security Testing para Rails

Cristián Rojas, MSc., CSSLP
Cristián Rojas, MSc., CSSLP

Presentación para el Meetup de Lenguajes Dinámicos acerca de TDD e Integración Continua, 9 de Enero de 2012

Tecnología
1 de 12
Descargar para leer sin conexión
Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
¿Es Rails seguro?
¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
¿Qué hacemos?
gem install brakeman (perro)
Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
Demo
Sin embargo... ¿Será suficiente con Brakeman?
Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?

Recomendados

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open source
Federico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
superserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
ULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and Apps
José María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impaciente
Miguel Ángel Enríquez López
 

Recomendados

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
Víctor Leonel Orozco López
 
Webinar: Migrar el testing a open source
Webinar: Migrar el testing a open sourceWebinar: Migrar el testing a open source
Webinar: Migrar el testing a open source
Federico Toledo
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015 Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
César Hernández
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
superserch
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
ULSELSALVADOR
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and Apps
José María Rodríguez Hurtado
 
Spring boot et. al. para el impaciente
Spring boot et. al. para el impacienteSpring boot et. al. para el impaciente
Spring boot et. al. para el impaciente
Miguel Ángel Enríquez López
 
Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receña
Mayra Salas
 
Paty
PatyPaty
Paty
PatyChaves14
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Andres Felipe Sanchez
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80
Faustino Iglesias Sierra
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5
sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del agua
Everth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografía
morelosyair
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa bueno
ReinaMorelos
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
JOHANA_AUTAS_UAREZ
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidad
sanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TIC
vcorzod
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación
MiMAGA María Martínez García
 
Tp9
Tp9Tp9
Tp9
sirioarabia
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casa
gisesala88
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligencia
Grupo de Acción Local GAL VALLETENZANO
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1
aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento
JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packaging
JMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Perú Medicina Holistica
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladys
estefania-rafael
 
Skipfish
Skipfish Skipfish
Skipfish
Mauro Parra-Miranda
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
Saul Mamani
 

Más contenido relacionado

Destacado

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receña
Mayra Salas
 
Paty
PatyPaty
Paty
PatyChaves14
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Andres Felipe Sanchez
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80
Faustino Iglesias Sierra
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5
sirioarabia
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del agua
Everth Garcia
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografía
morelosyair
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa bueno
ReinaMorelos
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
JOHANA_AUTAS_UAREZ
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidad
sanchezfabian
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TIC
vcorzod
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación
MiMAGA María Martínez García
 
Tp9
Tp9Tp9
Tp9
sirioarabia
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casa
gisesala88
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligencia
Grupo de Acción Local GAL VALLETENZANO
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1
aymee-paola
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento
JAESMA96
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packaging
JMRodeiro
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Perú Medicina Holistica
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladys
estefania-rafael
 

Destacado (20)

Cuadro de receña
Cuadro de receñaCuadro de receña
Cuadro de receña
 
Paty
PatyPaty
Paty
 
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
Integrantes: Carlos Rocha Rincon y Nicolas Galindo 1104
 
AÑOS 60-70-80
AÑOS 60-70-80AÑOS 60-70-80
AÑOS 60-70-80
 
Trabajo practico n°5
Trabajo practico n°5Trabajo practico n°5
Trabajo practico n°5
 
La contaminación del agua
La contaminación del aguaLa contaminación del agua
La contaminación del agua
 
Mi autobiografía
Mi autobiografíaMi autobiografía
Mi autobiografía
 
Cuadro arpa bueno
Cuadro arpa buenoCuadro arpa bueno
Cuadro arpa bueno
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
 
El video digital en la actualidad
El video digital en la actualidadEl video digital en la actualidad
El video digital en la actualidad
 
Trabajo de TIC
Trabajo de TICTrabajo de TIC
Trabajo de TIC
 
Programa ejemplo hidratación
Programa ejemplo hidratación Programa ejemplo hidratación
Programa ejemplo hidratación
 
Tp9
Tp9Tp9
Tp9
 
Consejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casaConsejos utiles a la hora de pintar su casa
Consejos utiles a la hora de pintar su casa
 
Guiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligenciaGuiade trabajo diagnosticoplandeintervinteligencia
Guiade trabajo diagnosticoplandeintervinteligencia
 
Exposicion de informatica 1
Exposicion de informatica 1Exposicion de informatica 1
Exposicion de informatica 1
 
Emprendimiento
Emprendimiento Emprendimiento
Emprendimiento
 
Innovación en packaging
Innovación en packagingInnovación en packaging
Innovación en packaging
 
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
Ejemplosdeideasdenegocio 100930175517-phpapp02 (1)
 
Diapositivas gladys
Diapositivas gladysDiapositivas gladys
Diapositivas gladys
 

Similar a Security Testing para Rails

Skipfish
Skipfish Skipfish
Skipfish
Mauro Parra-Miranda
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
Saul Mamani
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
Jose Manuel Ortega Candel
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
TestingUy
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
Tensor
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
Daniel Gorria
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scanner
Tensor
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
Isidro Merayo Castellano
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013
Carlos Camacho
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Lenguaje de programación Java
Lenguaje de programación Java Lenguaje de programación Java
Lenguaje de programación Java
Eysin Lorenzo Delgado Mejía
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - Sistemas
Carlos Camacho
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Alonso Caballero
 
Skipfish
SkipfishSkipfish
Skipfish
Mauro Parra-Miranda
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHP
Software Guru
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
Zink Security
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
Tensor
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Dani Adastra
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agiles
Jobsket
 

Similar a Security Testing para Rails (20)

Skipfish
Skipfish Skipfish
Skipfish
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Herramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgosHerramienta de-analisis-de-riesgos
Herramienta de-analisis-de-riesgos
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scanner
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013Vaadin y Grails Barcamp 2013
Vaadin y Grails Barcamp 2013
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Lenguaje de programación Java
Lenguaje de programación Java Lenguaje de programación Java
Lenguaje de programación Java
 
Grails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - SistemasGrails 2013 - PUCMM - Santiago - Sistemas
Grails 2013 - PUCMM - Santiago - Sistemas
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Skipfish
SkipfishSkipfish
Skipfish
 
Laravel el Framework Top de PHP
Laravel el Framework Top de PHPLaravel el Framework Top de PHP
Laravel el Framework Top de PHP
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
 
Desarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agilesDesarrollo con Java y metodologías agiles
Desarrollo con Java y metodologías agiles
 

Más de Cristián Rojas, MSc., CSSLP

Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
Cristián Rojas, MSc., CSSLP
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Cristián Rojas, MSc., CSSLP
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
Cristián Rojas, MSc., CSSLP
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
Cristián Rojas, MSc., CSSLP
 
SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?
Cristián Rojas, MSc., CSSLP
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
Cristián Rojas, MSc., CSSLP
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
Cristián Rojas, MSc., CSSLP
 

Más de Cristián Rojas, MSc., CSSLP (7)

Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?SSL instalado... ¿estamos realmente seguros?
SSL instalado... ¿estamos realmente seguros?
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
 

Último

Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
leia ereni
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
MiguelAtencio10
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
AngelCristhianMB
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
Manuel Diaz
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 

Último (20)

Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 

Security Testing para Rails

  • 1. Security Testing para Rails Cristián Rojas Especialista en Seguridad de Software Inexperto en desarrollo Ruby/Rails
  • 3. ¿Entonces por qué no probamos seguridad? def test_sql_injection visit "http://www.misitiobacan.cl" fill_in "user", :with => "cracker" fill_in "password", :with => "' OR '1'='1" click_button "Ingresar" response.should_not contain("bienvenido,") end
  • 4. ¿Qué vulnerabilidades puede haber? ● Cross site scripting (XSS) ● SQL injection ● Command injection ● Cross-Site Request Forgery (CSRF) ● Redirecciones no protegidas ● Acceso inseguro a archivos ● Rutas por defecto ● Validación insuficiente de modelos ● Abuso de mass assignment ● Uso peligroso de eval() ● …etc.
  • 7. Brakeman ● Es un analizador estático ● Detecta vulnerabilidades: – Que nosotros introducimos en nuestras apps – Inherentes a la versión Rails que utilizamos ● Se integra con rake y herramientas CI como Jenkins (¿ew?) o Guard
  • 10.
  • 11. Recursos ● Ruby on Rails Security Guide: http://guides.rubyonrails.org/security.html ● Analizador Estático Brakeman: http://brakemanscanner.org/ ● ¿Todas las vulnerabilidades se vuelven obvias?: http://injcristianrojas.github.com/analisis/2012/12/26/t odas-las-vulnerabilidades-se-vuelven-obvias/ ● Ruby on Rails releases "extremely critical" fixes: http://www.scmagazine.com/ruby-on-rails-releases-extrem ely-critical-fixes/article/275399/
  • 12. Muchas gracias por su atención. ¿Preguntas? ¿Comentarios?