रेल सुरक्षा की सर्वोत्तम प्रथाओं के लिए एक व्यापक मार्गदर्शिका

आपको रेल सुरक्षा की परवाह क्यों करनी चाहिए?

• क्या आप सुरक्षा के लिए सर्वोत्तम प्रथाओं का पालन करने का प्रयास करते हैं लेकिन वास्तव में उन्हें समझ नहीं पाते हैं?
• क्या आप इस बारे में स्पष्ट नहीं हैं कि XSRF, MITM और XSR हमले कैसे काम करते हैं?
• क्या आपको लगता है कि क्योंकि आपके ऐप्स छोटे या आंतरिक हैं, इसलिए उन्हें कोई ख़तरा नहीं है?

क्या आपको लगता है कि आपका एप्लिकेशन लक्ष्य नहीं है?

संगठित अपराध एक वास्तविक है

बॉटनेट आपको नीचे ले जाएगा

विदेशी सरकारें आपको पाने के लिए तैयार हैं

हैक्टिविस्ट छाया में छुपे हुए हैं

आवश्यक पढ़ना

• रेल सुरक्षा मार्गदर्शिका
• आधिकारिक रूबी सुरक्षा पृष्ठ

आठ रूबी सुरक्षा कमजोरियाँ (या p0wn'd पाने के आठ आसान तरीके)

• गैर-तकनीकी
• क्रॉस-साइट स्क्रिप्टिंग (XSS)
• क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ, एक्सएसआरएफ)
• मैन इन द मिडिल (MITM)
• एसक्यूएल इंजेक्शन (एसक्यूएलआई)
• मास असाइनमेंट और पैरामीटर इंजेक्शन
• सेवा से इनकार (DOS, DDOS)
• प्लेटफ़ॉर्म हमले (आपके एप्लिकेशन को चलाने वाले होस्ट का शोषण करना)

गैर-तकनीकी सुरक्षा शोषण जो रूबी ऑन रेल्स सुरक्षा को प्रभावित कर सकते हैं

• ईमेल के माध्यम से प्लेनटेक्स्ट पासवर्ड भेजें
• हर जगह एक ही पासवर्ड का उपयोग करें
• उन लोगों पर भरोसा करें जो कुकीज़ के साथ आपके कार्यालय में आते हैं
• संवेदनशील डेटा अपने लैपटॉप पर रखें

क्रॉस-साइट स्क्रिप्टिंग

क्रॉस-साइट स्क्रिप्टिंग से बचाव का एक आसान तरीका है

<script>alert('I am stealing your cookies! Ha!');</script>

<script>alert('I am stealing your cookies! Ha!');</script>

कभी-कभी क्रॉस-साइट स्क्रिप्टिंग से बचाव करना इतना आसान नहीं होता है

क्रॉस-साइट अनुरोध जालसाजी

सीएसआरएफ हमले की शारीरिक रचना

<input type="hidden" name="authenticity_token" value="kM3jN8vBx2QzE-7wRtFpL6aYsI9uZcXmD4oHgK1rVnWe5qA0bUiJlSfTyP3hG2oC8xZ7mBvNkL4wQrEtYuI6pA" autocomplete="off" />

लेकिन आप अभी भी इसे खराब कर सकते हैं

skip_before_action :verify_authenticity_token

MyApp::Application.routes.draw do
 match "/launch_all_the_missiles", to: "missiles#launch_all"
end

आदमी-बीच में हमले और पैकेट सूँघना

एप्लिकेशन कुकीज़ मैन-इन-द-मिडिल हमलों के प्रति संवेदनशील हैं

बचाव के लिए एसएसएल

एसक्यूएल इंजेक्शन

SQL इंजेक्शन का एक उदाहरण

Building.where("st_intersects(st_setsrid(st_makebox2d(st_point(#{params[:northeast][:lng]}, #{params[:northeast][:lat]}), st_point(#{params[:southwest][:lng]}, %{params[:southwest][:lat]})), 4326), buildings.location)")

")), 4326), buildings.location); UPDATE users SET admin=1 WHERE id=666;--"

रेल हमें SQL इंजेक्शन से लगभग स्वचालित रूप से बचाता है

where("st_intersects(st_setsrid(st_makebox2d(st_point(?, ?), st_point(?, ?)), 4326), #{table_name}.location)", box[:northeast][:lng], box[:northeast][:lat], box[:southwest][:lng], box[:southwest][:lat]).

रेल हमेशा SQL इंजेक्शन से सुरक्षा नहीं देती

pry(main)> User.sum(%[id) AS sum_id FROM users; update users set
admin='t' where id=224;--])
(22.4ms) SELECT SUM(id) AS sum_id FROM users; update users set
admin='t' where id=224;--) AS sum_id FROM "users" 
=> "0"

बड़े पैमाने पर असाइनमेंट हमले

GitHub को कैसे हैक किया गया

User.create(params[:user])

User.create({admin: true, ...})

PublicKey.update({user_id: "123"})

बड़े पैमाने पर असाइनमेंट एक आसान समाधान है

def user_params
 params.require(:user).permit(:name, :email)
end

User.create(user_params)

सेवा हमलों से इनकार

DDOS एक कच्चा लेकिन प्रभावी हमला है

एल्गोरिदमिक जटिलता हमले

पुराने जमाने का अच्छा सर्वर शोषण करता है

हमले का पता लगाने को स्वचालित करें

वह चीज़ें करें जिनके बारे में आप जानते हैं कि आपको करना चाहिए।

यह आपकी रेल सुरक्षा को उन्नत करने का समय है