Proteja seu APP Rails de ataques | Rails em 8 minutos!

Manter um APP online seguro é um trabalho constante mas fundamental, neste Screencast você vai aprender como proteger seu APP Ruby On Rails de ataques DDoS, brute force e etc de forma fácil e extremamente rápida.

Para fazer isso nós vamos usar uma gem chamada Rack Attack, ela intercepta as chamadas antes que elas cheguem aos seus controllers e através de alguns métodos que vamos codar, ela filtra as chamadas permitindo a passagem apenas do que está dentro do padrão de segurança que estabelecemos.

Então vamos ao Screencast ver tudo isto na prática 😀💪

Instalando e preparando a gem

0 – Prepare seu novo projeto Rails ou algum projeto pré existente que você deseje melhorar a segurança.

1 – Coloque no seu Gemfile:

gem 'rack-attack'

1	gem 'rack-attack'

2 – Instale rodando:

bundle install

1	bundle install

3 – Inclua o middleware no seu config/application.rb:

config.middleware.use Rack::Attack

1	config.middleware.use Rack::Attack

4 – Crie um initializer chamado rack_attack (config/initializers/rack_attack.rb) e coloque nele:

class Rack::Attack
end

1 2	class Rack::Attack end

Protegendo o site Rails de ataques DDoS

1 – Atualize seu intializer rack_attack colocando:

class Rack::Attack
  throttle('req/ip', limit: 300, period: 5.minutes) do |req|
    req.ip # unless req.path.start_with?('/assets')
  end
end

class Rack::Attack

throttle('req/ip', limit: 300, period: 5.minutes) do |req|

req.ip # unless req.path.start_with?('/assets')

end

Protegendo seu site Rails de brute force

1 – Para proteger usando o email, Inclua no seu initializer rack_attack:

throttle("logins/email", limit: 5, period: 20.seconds) do |req|
  if req.path == '/login' && req.post?
    req.params['email'].presence
  end
end

throttle("logins/email", limit: 5, period: 20.seconds) do |req|

if req.path == '/login' && req.post?

req.params['email'].presence

end

2 – Para proteger usando o ip, inclua no seu initializer rack_attack:

throttle('logins/ip', limit: 5, period: 20.seconds) do |req|
  if req.path == '/login' && req.post?
    req.ip
  end
end

throttle('logins/ip', limit: 5, period: 20.seconds) do |req|

if req.path == '/login' && req.post?

req.ip

end

Incluindo um IP na safelist

1 – Inclua no final do seu initializer rack_attack:

Rack::Attack.safelist('allow from localhost') do |req|
  req.ip == '127.0.0.1'
end

Rack::Attack.safelist('allow from localhost') do |req|

req.ip == '127.0.0.1'

end

Bloqueando um IP

1 – Inclua no final do seu initializer rack_attack:

Rack::Attack.blocklist_ip("1.2.3.4")

1	Rack::Attack.blocklist_ip("1.2.3.4")

Conclusão

Curtiu aprender como deixar seu APP Rails mais seguro? Para saber mais sobre a gem rack-attack e sobre como criar uma proteção mais customizada para o seu APP visite o repositório da gem clicando aqui.

Muito obrigado por assistir ao Screencast, se você gostou deixa um comentário e envia o link desse tutorial para seus amigos(as) ou nas comunidades de programação que você frequenta.

Grande abraço,
Leonardo Scorza

12 formas de vencer o bloqueio criativo e escrever textos memoráveis (e 6 dicas extras)

Não perca nenhum conteúdo

Receba nosso resumo semanal com os novos posts, cursos, talks e vagas o/

0 0 vote

Article Rating

janeiro 17, 2020

Posts | Cursos

Leonardo Scorza

Programador Full Stack focado em Ruby On Rails, fundador e professor da startup de educação online para programadores OneBitCode. Sou entusiasta de todo o tipo de tecnologia, em especial tecnologias Open Source e quero facilitar a vida dos programadores através da criação de conteúdos educacionais de fácil e rápido entendimento.

Website :

2 Comentários

Oldest

Newest Most Voted

Inline Feedbacks

View all comments

ASdsadsadsa

1 ano atrás

‘

Responder

ASdsadsadsa

1 ano atrás

‘ or 1=1

Responder

Proteja seu APP Rails de ataques | Rails em 8 minutos!

Instalando e preparando a gem

Protegendo o site Rails de ataques DDoS

Protegendo seu site Rails de brute force

Incluindo um IP na safelist

Bloqueando um IP

Conclusão

Não perca nenhum conteúdo

Receba nosso resumo semanal com os novos posts, cursos, talks e vagas o/

Curtir isso:

Leonardo Scorza

Semana Super Full Stack

Domine a base da web

OneBitCode no Discord

FIQUE ATUALIZADO(A)!

Proteja seu APP Rails de ataques | Rails em 8 minutos!

Instalando e preparando a gem

Protegendo o site Rails de ataques DDoS

Protegendo seu site Rails de brute force

Incluindo um IP na safelist

Bloqueando um IP

Conclusão

Não perca nenhum conteúdo

Receba nosso resumo semanal com os novos posts, cursos, talks e vagas o/

Compartilhe:

Curtir isso:

Leonardo Scorza

Semana Super Full Stack

Domine a base da web

OneBitCode no Discord

FIQUE ATUALIZADO(A)!