OWASP + Rails

Hola a todos,

Tras pasar la semana pasado en el foro de seguridad FS2008 de RedIRis,
me han venido a la cabeza muchos miedos y ganas de resolver algunos
puntos flojos. Entre las cosas que me he encontrado y he estado leyendo
son los documentos de OWASP (http://www.owasp.org) sobre seguridad. Creo
que no se ha hablado de este tema en la lista.

En especial he encontrado una guía específicamente sobre seguridad en
Ruby On Rails: Web Application Security Put Into Practice RoR Security

Podéis descargar la guía aquí: http://www.lulu.com/content/1412042

A ver si hago una miniguía de enlaces sobre seguridad en Ruby On Rails.

Espero que os valga.
Un saludo!

El lun, 07-04-2008 a las 11:41 +0200, Juan José Vidal escribió:

Hola a todos,

Tras pasar la semana pasado en el foro de seguridad FS2008 de RedIRis,
me han venido a la cabeza muchos miedos y ganas de resolver algunos
puntos flojos. Entre las cosas que me he encontrado y he estado leyendo
son los documentos de OWASP (http://www.owasp.org) sobre seguridad. Creo
que no se ha hablado de este tema en la lista.

Hola.

Ya he ido a alguna de estas hace tiempo, y están bastante chulas.


Respecto a lo de owasp, el webscarab es una herramienta básica pero muy
completa para simular cualquier ataque.

Bajo mi humilde opinión rails es uno de los más fáciles de securizar, ya
que te viene casi todo de serie. comprobación de inyección sql, las
validaciones de modelo son fáciles. Le sumas alguna comprobación más,
algún CGI::escape o sistemas de listas blancas, y tienes una aplicación
prácticamente segura.

Respecto a los CSRF, por lo que estoy leyendo, ya está solucionado esos
problemas con un simple:

protect_from_forgery en el application.rb y a volar.

Un Saludo.


Guillermo [email protected]

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs