VDS за 300р от нашего партнера SpaceWeb
[103]
02 Июн 2012, 15:31

SQL-инъекции в Ruby on Rails

В популярном фреймворке Ruby on Rails выявлена критическая уязвимость позволяющая злоумышленнику произвести SQL-инъекцию. Уязвимость присутствует в Ruby on Rails 3.x при использовании Active Record для доступа к базе данных и включении поддержки вложенных параметров.

Проблема вызвана отсутствием проверки вложенных параметров запроса в коде Active Record. Конструкция «Post.where(:id => params[:id]).all» в коде Active Record напрямую передает внешние параметры в блок условий WHERE, что позволяет передавать параметры, в результате которых params[:id] вернёт специально изменённый хэш с содержимым дополнительных условий для блока WHERE.

Проблема была устранена в корректирующих выпусках Ruby on Rails 3.0.13, 3.1.5 и 3.2.5.

Комментарии (0)

Добавить комментарий

Войдите, чтобы написать о чем-нибудь...
Вход Регистрация
Web.onRails
Здесь вы можете спросить или написать обо всём, что касается Веб-разработки.
написать о чем-нибудь...
Метки:
Лучшее
[52]
16 Окт 2011, 15:38
Вывести все элементы POST
[просмотров 14512]
[74]
31 мая 2011, 11:48
Python проверка существования переменной
[просмотров 10185]
[100]
19 Дек 2014, 16:16
User-agent для Internet Explorer 11
[просмотров 9470]
[4]
10 Окт 2018, 15:33
Как запретить просмотр сайта по IP?
[просмотров 9153]
[125]
21 Июл 2011, 14:04
Python Imaging Library (PIL)
[просмотров 7398]
[315]
11 Авг 2011, 00:21
Спецификация HTML5 от W3C
[просмотров 7368]
[315]
16 Июл 2011, 20:03
Python работа с MySQL
[просмотров 5311]

Вести с Хабра