search

Ruby On Rails

hashtag
Outil

hashtag
Brakeman

Brakeman est un scanner de vulnérabilité pour application Ruby On Rails.

Utilisation:

$ brakeman /path/to/rubyapp

ressource: https://github.com/presidentbeef/brakemanarrow-up-right

hashtag
Structure d'un projet RoR

.
├── Dockerfile #software version, hardcoded credentials
├── Gemfile #software versions
├── Gemfile.lock #software versions
├── app
│   ├── assets # images, video etc
│   ├── controllers #all application logic located here
│   │   ├── admin_controller.rb
│   │   ├── users_controller.rb
│   ├── helpers #helper - method that is (mostly) used to share reusable code
│   │   ├── admin_helper.rb
│   ├── mailers #allows send emails from your application using mailer classes
│   │   └── user_mailer.rb
│   ├── models #Ruby class that is used to represent data 
│   │   ├── user.rb
│   └── views # HTML templates
│       ├── admin
│       │   ├── get_all_users.html.erb
├── config #app configuration, should be reviewed because developers can disable security features
│   ├── application.rb #application configuration
│   ├── boot.rb
│   ├── database.yml #database config, may contain hard-coded creds
│   ├── environment.rb
│   ├── environments
│   │   ├── development.rb #application configuration
│   ├── initializers
│   │   ├── constants.rb #hardcoded credentials
│   │   ├── filter_parameter_logging.rb #logging
│   │   ├── html_entities.rb #Enables or disables the escaping of HTML entities in JSON serialization
│   │   ├── key.rb #hardcoded credentials
│   │   ├── secret_token.rb #cookie signing
│   │   ├── session_store.rb #how session store is organized
│   ├── locales
│   │   └── en.yml #hardcoded credentials
│   ├── routes.rb #First thing to investigate, application routing
│   ├── secrets.yml #Is credentials/secrets encrypted?
│   └── secrets2.yml #Is credentials/secrets encrypted?
├── db
│   ├── schema.rb #database schema
│   └── seeds.rb #database data, may contain hard-coded creds
├── lib #extended modules
│   ├── encryption.rb #encryption
├── log #log files
├── public #static files and compiled assets
│   ├── 404.html
│   └── robots.txt
├── script
├── spec #for testing purposes
└── vendor #third-party code

hashtag
Points d'interet

hashtag
Routing

Permet de mapper des routes avec ses gestionnaires pour comprendre la structure API de l'application. Le routeur détermine quel type de contrôleur et d'action doit réellement exécuter le code. Le routage des applications est décrit dans le fichier /config/routes.rb.

ressources:

hashtag
Controllers

hashtag
Views

Les vues sont stockées dans le chemin de modèle suivant:

app/views/[controller]/[view_name].html.erb

Une vue est une simple page HTML gérée par le moteur de modèle ERB, qui affiche les valeurs renvoyées par le contrôleur.

ressource: https://guides.rubyonrails.org/layouts_and_rendering.htmlarrow-up-right

hashtag
Models

Un modèle est une classe Ruby utilisée pour représenter des données. De plus, les modèles peuvent interagir avec la base de données de l'application via une fonctionnalité de Rails appelée Active Record.

hashtag
Mauvaises pratiques

hashtag
SSL forcé désactivé

hashtag
Crypto

hashtag
Cookies

La bonne pratique est:

Rails.application.config.action_dispatch.signed_cookie_digest = "SHA256"

hashtag
Env

Les environnements doivent utiliser une clé aléatoire présente dans config/credentials.yml.enc et la clé doit être chiffrée.

hashtag
Mass assignement

Whitelist_attributes doit être sur false:

config.active_record.whitelist_attributes=false

Tout paramètre peut être utilisé lors d’un appel de mass assignment lorsque .permit! est utilisé.

Exemple:

Permet ceci,

hashtag
XSS

Si ActiveSupport::escape_html_entities_in_json = false :

  • to_json() = potentielle XSS

RoR échape le code html par défaut mais certaines méthode dépréciées permettent d'outrepasser cette protection:

  • raw

  • html_save

  • content_tag

hashtag
Exemples

  • html = "<div>#{name}</div>".html_safe

  • content_tag :p, "Hello, #{name}”

  • raw @user.name

Contourner le moteur de template:

  • ERB.new("<div>#{@user.name}</div>").result

  • render inline: "<div>#{@user.name}</div>”

  • render text: "<div>#{@user.name}</div>”

Variables explicitements unescaped:

  • <%= name.html_safe %>

  • <%= content_tag :p, "Hello, #{name}" %>

  • <%= raw @user.name =>

  • <%== @user.name %>

Template placé à un endroit dangereux:

  • <div class=<%= classes %></div>

  • <a href="<%= link %>"></a>

  • <%= link_to "Here", @link %>

  • <script>var name = <%= name %>;</script>

hashtag
OS injection

hashtag
SQLi

La concaténation de l'entrée utilisateur avec le paramètre de requête SQL peut entraîner une injection SQL.

Exemple:

hashtag
SSTI

ERB.new("<div>#{@user.name}</div>").result

hashtag
Insecure deserialization

Vérifier que Marshal.load n'est pas utilisé pour déserialiser des données apportées par les utilisateurs.

PrécédentPHPSuivantPerl

Mis à jour