¿Es la protección de Inyección SQL de Ruby suficiente para garantizar que no se utilicen medidas de seguridad adicionales?

2

En mi experiencia, la inyección SQL siempre es una amenaza. Si los malos actores no penetran a través de SQL, obtienen datos suficientes para lanzar fuerzas brutas a través de MBASentry o hacen escalamiento de privilegios a través de scripts. Sin embargo, navego por sitios de mercenarios electrónicos como enlace y me doy cuenta de que son compatibles con casi todas las API, excepto Ruby.

El núcleo de mi pregunta es el siguiente: ¿Ruby y la protección adicional brindan suficiente protección para garantizar que no se utilicen medidas adicionales?

    
pregunta El Chapo Gluzman 26.07.2016 - 21:53
fuente

1 respuesta

1

No todas las medidas de seguridad tienen puntos débiles en ciertos momentos. Siempre desea tener capas de Defensa en profundidad y nunca depender solo de un solo control de seguridad.

Una comparación más profunda de cómo se comportan los dos que mencionas puede o no revelar si hay una superposición en los mecanismos de protección. Puede o no puede resultar que uno de ellos se superponga completamente al otro, de modo que el segundo no parezca proporcionar un gran beneficio en el momento del análisis.

Si ambos se están desarrollando activamente, habrá muchos puntos en el tiempo donde una solución eclipsa a la otra, de modo que tener ambos proporcionará más protección que una sola. Dependiendo de los ecosistemas para ese producto, esto puede ocurrir con frecuencia.

Mi sugerencia sería hacer una evaluación profunda de cada producto, conocer la frecuencia con la que reciben actualizaciones (ver su historial pasado si es posible), y ver si puede determinar qué elementos de cada uno de ellos son efectivos en el bloqueo. Si este es un mercado nuevo, es posible que desee volver a evaluarlos cada pocos meses en caso de que uno sea mucho mejor que el otro.

Finalmente, si es posible, es mejor tener dos tipos de controles de seguridad totalmente diferentes en lugar de dos controles del mismo tipo. La razón por la que esto ayuda es que si las nuevas clases de ataques anulan completamente un tipo de defensa, puede haber una situación en la que aún pueda funcionar un tipo secundario de defensa. Del mismo modo, en muchos casos, pero no en todos, es útil si el control de seguridad se está ejecutando en un sistema frente al servidor que contiene datos protegidos en lugar de en ese sistema (si el control en sí tiene un error, no deja caer al atacante). la casilla con los datos).

    
respondido por el Trey Blalock 26.07.2016 - 22:40
fuente

Lea otras preguntas en las etiquetas