Ruby on Rails API Security

Question

Для недавнего проекта, с которым мы работаем, и мы работаем над этим, мы хотим создать веб-интерфейс RESTful для использования клиентских приложений. Я считаю, что у меня довольно хорошее представление о нисходящем снимке после прочтения this, но я не знаю, когда дело касается вопросов безопасности.

Я знаю OAuth и планирую его реализовать, но есть ли какие-либо другие проблемы, которые мы должны решать в первую очередь? Мне бы очень хотелось потратить много времени на разработку этих функций, чтобы узнать позже, что мы оставили сайт открытым для злонамеренной атаки.

Спасибо.

Answer 1

Если вы ищете общую информацию о безопасности в Интернете, зарегистрируйтесь OWASP Ruby on Rails Security Guide V.2. (Там также есть first edition, который я прочитал в тот же день.) Посетите веб-сайт OWASP для получения дополнительной информации, связанной с безопасностью.

Answer 2

Несколько больше ресурсов для вас:

Великий прохождение общих веб-атак и как бороться с ними в рельсах https://www.honeybadger.io/blog/guides/2013/03/09/ruby-security-tutorial-and-rails-security-guide

Рельсы небезопасные по умолчанию http://blog.codeclimate.com/blog/2013/03/27/rails-insecure-defaults

Все о SQL инъекций, идет за исключением простых примеров http://rails-sqli.org

New security issues are listed at