Uygulama Güvenliği Uygulama Güvenliği & &

Özgür Yazılım ve Linux Günleri Özgür Yazılım ve Linux Günleri 20162016

Ruby on Rails Web Framework Ruby on Rails Web Framework ve ve

GüvenlikGüvenlik

Muhammet DilmaçMuhammet Dilmaç

[*] Karabük Üniversitesi - Bilgisayar Mühendisliği

[*] ADEO - Siber Güvenlik Danışmanı

[*] Pisi Linux - Geliştiricisi

[*] Geliştirici

WEBWEB

[*] HTTP/ - 1990

[*] Artan istekler

[*] Statik sayfalardan -> Dinamik Sayfalara

[*] Sade mimariden -> Karmaşık mimariye

Web DevelopmentWeb Development[*] Bir zamanlar dünya çok güzeldi HTML bile yoktu.

[*] Sonra HTML/CSS ve JS geldi.

[*] Ve diğerleri...

[*] FrontEnd - BackEnd ve Designer

BackEndBackEnd[*] Sunucu tarafında yapılan web yazılımı bacağı.

[*] Gözükmeyen abiler.

[*] İş çok...

[*] Web Çatısı

Ruby on RailsRuby on Rails[*] Ruby ile geliştirildi.(2005)

[*] Açık kaynak kodlu.

[*] (M)odel(V)iew(C)ontroller

[*] Don't repeat yourself!

[*] Keyifli kod ^^

SecuritySecurity[*] Güvenlik zafiyetleri sadece klasik PHP'de yoktur.

[*] Framework kullanıyorum beni bağlamaz değil :)

[*] Yazılımcı bağımsız değildir!

SQL InjectionSQL Injection[*] Active Record

[*] Elle SQL sorgusu yazma ihtiyacı

[*] O değişkeni o sorguya bodozlama katma kardeşim :(

[*] Mutlaka Prepare Statement'ı kullanın!

XSSXSS[*] Gelen geçsin, geçen gitsin ile olmaz bu işler :(

[*] HTML Safe dedikte gerçekten de safe mi?

[*] Sanitize ile çıktı kontrol edilmeli!

[*] Loofah ile girdiler kontrol edilmeli!

CSRFCSRF[*] Ruby on Rails kullanıcısıysanız pek bir derdiniz yok bu

konuda zira application controller'da bunun için korumamız

mevcuttur. (protect_from_forgery with: :exception)

Security HeadersSecurity Headers[*] Güvenlik amaçlı kullanılan bir çok http headerı twitter tarafından yayınlanan

secureheaders gemi ile edinebilirsiniz.

Bulunan headerlar;

[*] Content Security Policy

[*] HTTP Strict Transport Security

[*] X-Frame-Options

[*] X-XSS-Protection

[*] X-Content-Type-Options

[*] X-Download-Options

[*] X-Permitted-Cross-Domain-Policies

[*] Public Key Pinning

Static Code AnalyzStatic Code Analyz[*] Çeşitli statik kod inceleme araçları ile yazmış olduğunuz kodları inceletebilir ve bir sorun

var ise sizi uyarmalarını sağlayabilirsiniz.

Buna örnek olabilecek araçlarımız;

[*] Brakeman

[*] CodeSake Dawn

ÖnerilenlerÖnerilenler[*] Kullanıcı yetkisine göre parametre ayarlamayı unutmayın :(

[*] Mutlaka hackerone gibi bug bounty programları yapan yerleri takip edin.

[*] SSH güvenliğini önemseyin.

[*] Dinç kafa ile yazın :(

[*] Kodları lütfen inceletin.

[*] Kullandığınız gemleri mutlaka inceleyin(star, issue, last commit)

ContactContact[*] Twitter: /m_dilmac

[*] Github: /MuhammetDilmac

[*] Mail: iletisim@muhammetdilmac.com.tr