[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
1 like339 views
OWASP-TR Uygulama Güvenliği Günü 2016 Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
![Muhammet DilmaçMuhammet Dilmaç
[*] Karabük Üniversitesi - Bilgisayar Mühendisliği
[*] ADEO - Siber Güvenlik Danışmanı
[*] Pisi Linux - Geliştiricisi
[*] Geliştirici](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-3-320.jpg)
![WEBWEB
[*] HTTP/ - 1990
[*] Artan istekler
[*] Statik sayfalardan -> Dinamik Sayfalara
[*] Sade mimariden -> Karmaşık mimariye](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-4-320.jpg)
![Web DevelopmentWeb Development
[*] Bir zamanlar dünya çok güzeldi HTML bile yoktu.
[*] Sonra HTML/CSS ve JS geldi.
[*] Ve diğerleri...
[*] FrontEnd - BackEnd ve Designer](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-5-320.jpg)
![BackEndBackEnd
[*] Sunucu tarafında yapılan web yazılımı bacağı.
[*] Gözükmeyen abiler.
[*] İş çok...
[*] Web Çatısı](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-6-320.jpg)
![Ruby on RailsRuby on Rails
[*] Ruby ile geliştirildi.(2005)
[*] Açık kaynak kodlu.
[*] (M)odel(V)iew(C)ontroller
[*] Don't repeat yourself!
[*] Keyifli kod ^^](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-7-320.jpg)
![SecuritySecurity
[*] Güvenlik zafiyetleri sadece klasik PHP'de yoktur.
[*] Framework kullanıyorum beni bağlamaz değil :)
[*] Yazılımcı bağımsız değildir!](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-8-320.jpg)
![SQL InjectionSQL Injection
[*] Active Record
[*] Elle SQL sorgusu yazma ihtiyacı
[*] O değişkeni o sorguya bodozlama katma kardeşim :(
[*] Mutlaka Prepare Statement'ı kullanın!](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-9-320.jpg)
![XSSXSS
[*] Gelen geçsin, geçen gitsin ile olmaz bu işler :(
[*] HTML Safe dedikte gerçekten de safe mi?
[*] Sanitize ile çıktı kontrol edilmeli!
[*] Loofah ile girdiler kontrol edilmeli!](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-10-320.jpg)
![CSRFCSRF
[*] Ruby on Rails kullanıcısıysanız pek bir derdiniz yok bu
konuda zira application controller'da bunun için korumamız
mevcuttur. (protect_from_forgery with: :exception)](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-11-320.jpg)
![Security HeadersSecurity Headers
[*] Güvenlik amaçlı kullanılan bir çok http headerı twitter tarafından yayınlanan
secureheaders gemi ile edinebilirsiniz.
Bulunan headerlar;
[*] Content Security Policy
[*] HTTP Strict Transport Security
[*] X-Frame-Options
[*] X-XSS-Protection
[*] X-Content-Type-Options
[*] X-Download-Options
[*] X-Permitted-Cross-Domain-Policies
[*] Public Key Pinning](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-12-320.jpg)
![Static Code AnalyzStatic Code Analyz
[*] Çeşitli statik kod inceleme araçları ile yazmış olduğunuz kodları inceletebilir ve bir sorun
var ise sizi uyarmalarını sağlayabilirsiniz.
Buna örnek olabilecek araçlarımız;
[*] Brakeman
[*] CodeSake Dawn](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-13-320.jpg)
![ÖnerilenlerÖnerilenler
[*] Kullanıcı yetkisine göre parametre ayarlamayı unutmayın :(
[*] Mutlaka hackerone gibi bug bounty programları yapan yerleri takip edin.
[*] SSH güvenliğini önemseyin.
[*] Dinç kafa ile yazın :(
[*] Kodları lütfen inceletin.
[*] Kullandığınız gemleri mutlaka inceleyin(star, issue, last commit)](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-14-320.jpg)
![ContactContact
[*] Twitter: /m_dilmac
[*] Github: /MuhammetDilmac
[*] Mail: iletisim@muhammetdilmac.com.tr](https://image.slidesharecdn.com/3-muhammet-dilmac-160330104326/85/OWASP-TR-Uygulama-Guvenligi-Gunu-2016-Muhammet-Dilmac-Ruby-on-Rails-Web-Framework-ve-Guvenlik-15-320.jpg)
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik
- 1. Uygulama GüvenliğiUygulama Güvenliği && Özgür Yazılım ve Linux GünleriÖzgür Yazılım ve Linux Günleri 20162016
- 2. Ruby on Rails Web FrameworkRuby on Rails Web Framework veve GüvenlikGüvenlik
- 3. Muhammet DilmaçMuhammet Dilmaç [*] Karabük Üniversitesi - Bilgisayar Mühendisliği [*] ADEO - Siber Güvenlik Danışmanı [*] Pisi Linux - Geliştiricisi [*] Geliştirici
- 4. WEBWEB [*] HTTP/ - 1990 [*] Artan istekler [*] Statik sayfalardan -> Dinamik Sayfalara [*] Sade mimariden -> Karmaşık mimariye
- 5. Web DevelopmentWeb Development [*] Bir zamanlar dünya çok güzeldi HTML bile yoktu. [*] Sonra HTML/CSS ve JS geldi. [*] Ve diğerleri... [*] FrontEnd - BackEnd ve Designer
- 6. BackEndBackEnd [*] Sunucu tarafında yapılan web yazılımı bacağı. [*] Gözükmeyen abiler. [*] İş çok... [*] Web Çatısı
- 7. Ruby on RailsRuby on Rails [*] Ruby ile geliştirildi.(2005) [*] Açık kaynak kodlu. [*] (M)odel(V)iew(C)ontroller [*] Don't repeat yourself! [*] Keyifli kod ^^
- 8. SecuritySecurity [*] Güvenlik zafiyetleri sadece klasik PHP'de yoktur. [*] Framework kullanıyorum beni bağlamaz değil :) [*] Yazılımcı bağımsız değildir!
- 9. SQL InjectionSQL Injection [*] Active Record [*] Elle SQL sorgusu yazma ihtiyacı [*] O değişkeni o sorguya bodozlama katma kardeşim :( [*] Mutlaka Prepare Statement'ı kullanın!
- 10. XSSXSS [*] Gelen geçsin, geçen gitsin ile olmaz bu işler :( [*] HTML Safe dedikte gerçekten de safe mi? [*] Sanitize ile çıktı kontrol edilmeli! [*] Loofah ile girdiler kontrol edilmeli!
- 11. CSRFCSRF [*] Ruby on Rails kullanıcısıysanız pek bir derdiniz yok bu konuda zira application controller'da bunun için korumamız mevcuttur. (protect_from_forgery with: :exception)
- 12. Security HeadersSecurity Headers [*] Güvenlik amaçlı kullanılan bir çok http headerı twitter tarafından yayınlanan secureheaders gemi ile edinebilirsiniz. Bulunan headerlar; [*] Content Security Policy [*] HTTP Strict Transport Security [*] X-Frame-Options [*] X-XSS-Protection [*] X-Content-Type-Options [*] X-Download-Options [*] X-Permitted-Cross-Domain-Policies [*] Public Key Pinning
- 13. Static Code AnalyzStatic Code Analyz [*] Çeşitli statik kod inceleme araçları ile yazmış olduğunuz kodları inceletebilir ve bir sorun var ise sizi uyarmalarını sağlayabilirsiniz. Buna örnek olabilecek araçlarımız; [*] Brakeman [*] CodeSake Dawn
- 14. ÖnerilenlerÖnerilenler [*] Kullanıcı yetkisine göre parametre ayarlamayı unutmayın :( [*] Mutlaka hackerone gibi bug bounty programları yapan yerleri takip edin. [*] SSH güvenliğini önemseyin. [*] Dinç kafa ile yazın :( [*] Kodları lütfen inceletin. [*] Kullandığınız gemleri mutlaka inceleyin(star, issue, last commit)
- 15. ContactContact [*] Twitter: /m_dilmac [*] Github: /MuhammetDilmac [*] Mail: [email protected]