Ruby on Rails API Security

Question

Для недавнего проекта, над которым мы с моим другом работали, мы хотим создать веб-API RESTful для использования клиентскими приложениями. Я считаю, что у меня есть довольно хорошее представление о нисходящем изображении после прочтения this , но я совершенно не понимаю, когда речь идет о проблемах безопасности.

Я знаю об OAuth и планирую его реализовать, но есть ли другие проблемы, которые мы должны решить в первую очередь? Я бы не хотел тратить много времени на разработку этих функций, чтобы потом узнать, что мы оставили сайт открытым для злонамеренных атак.

Спасибо.

Answer 1

Если вам нужна общая информация о веб-безопасности, ознакомьтесь с OWASP Ruby on Rails Руководство по безопасности V.2 .(Существует также первое издание , которое я прочитал в тот же день.) Посетите веб-сайт OWASP для получения дополнительной информации, связанной с безопасностью.

Answer 2

Еще несколько ресурсов для вас:

Отличное прохождение обычных веб-атак и как с ними бороться в рельсах https://www.honeybadger.io/blog/guides/2013/03/09/ruby-security-tutorial-and-rails-security-guide

Rails небезопасные значения по умолчанию http://blog.codeclimate.com/blog/2013/03/27/rails-insecure-defaults

Все о внедрении SQL, выходит за рамки простых примеров http://rails -sqli.org

Новые проблемы безопасности перечислены в