Estou estudando Ruby on Rails e estava procurando um material focado em segurança para esta linguagem. Eis que encontro um curso on-line Segurança no Ruby on Rails,ministrado pelo pessoal da Howto. , em português e por um preço muito legal, ponha legal nisso = R$ 270,00 (valor este que poderá ser parcelado via pagseguro ou boleto bancário).
Vejam o conteúdo programático do treinamento:
- Introdução
- Estimativa dos ataques
- Conhecendo os princípios de segurança
- Conhecendo o OWASP
- Sessão
- O que é sessão
- Conhecendo o id da sessão
- Entendendo o session hijacking
- Boas práticas
- Opções de storage da sessão
- Replay attack
- Session fixation
- Expiração de sessão
- CSRF
- Entendendo o que é CSRF
- Se previnindo contra CSRF
- Entendendo as exceções à regra
- Redirecionamento
- Fazendo redirecionamentos seguros
- Upload de arquivos
- Lidando com upload de arquivos de maneira segura
- Upload de arquivos executáveis
- Evitando download de arquivos arbitrários
- Autenticação
- Lidando com brute-force
- Account hijacking
- Usando captchas
- Exigindo senhas mais seguras
- Logging
- Filtrando parâmetros
- Mass assignment
- Conhecendo o mass-assignment
- Lidando com mass-assignment no modelo
- Lidando com mass-assignment no controller
- Expressões regulares
- Conhecendo as características do Ruby
- Como evitar ataques
- Serialização
- Problemas com YAML
- Problemas com Marshal
- Symbol Injection
- Ententendo com os símbolos funcionam
- Explorando o Symbol Injection
- XSS Injection
- Entendendo o que é XSS
- Recebendo HTML dos usuários
- Exibindo HTML de maneira segura
- Whitelists vs Blacklists
- Lidando com defacement
- O que fazer do lado do jQuery
- CSS Injection
- Conhecendo os vetores de ataque mais comuns
- Lidando com CSS Injection
- SQL
- Entendendo o SQL Injection
- APIs do ActiveRecord potencialmente “perigosas”
- Evitando SQL Injection
- Autenticação vs Autorização
- Evitando acesso não autorizado
- Password hashing
- HTTP
- Conhecendo os headers de segurança
- Definindo headers de segurança no servidor
- Definindo headers de segurança na aplicação
- Conhecendo o packet sniffing
- Usando SSL
- Do lado do servidor
- Permissão de arquivos e diretórios
- Liberando apenas as portas necessárias
- Amenizando DDoS com fail2ban
- Configurando o SSH com troca de chaves
- Configurando o SSL no NGINX
- Instalando atualizações de segurança automaticamente no Ubuntu
- Ferramentas
- Brakeman
- Metasploit
- Arachni
- Mantendo-se atualizado
- Informações sobre Ubuntu
- Informações sobre Ruby on Rails
- Informações gerais
Eu já fiz a minha inscrição. Mas caso vc não entenda bulhufas de Ruby on Rails, o pessoal da Howto também possui um curso para iniciantes na linguagem. É o Workshop Começando com Ruby on Rails, que segue as mesmas condições comerciais do segurança para ruby.