VDS за 300р от нашего партнера SpaceWeb

xmms [103]

02 Июн 2012, 15:31

SQL-инъекции в Ruby on Rails

ruby on rails информационная безопасность

В популярном фреймворке Ruby on Rails выявлена критическая уязвимость позволяющая злоумышленнику произвести SQL-инъекцию. Уязвимость присутствует в Ruby on Rails 3.x при использовании Active Record для доступа к базе данных и включении поддержки вложенных параметров.

Проблема вызвана отсутствием проверки вложенных параметров запроса в коде Active Record. Конструкция «Post.where(:id => params[:id]).all» в коде Active Record напрямую передает внешние параметры в блок условий WHERE, что позволяет передавать параметры, в результате которых params[:id] вернёт специально изменённый хэш с содержимым дополнительных условий для блока WHERE.

Проблема была устранена в корректирующих выпусках Ruby on Rails 3.0.13, 3.1.5 и 3.2.5.

37 просмотров

Комментарии (0)

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Войдите, чтобы написать о чем-нибудь...

Вход Регистрация

Web.onRails

Найди ответ на любой вопрос по Веб-разработке!

задать вопрос...

Вы можете разместить Рекламный пост самостоятельно, либо отправив контент по адресу admin@webonrails.ru→ Оплата здесь ←Неоплаченные посты удаляются.

Метки:

php× 491

css× 225

python× 209

html× 188

flash× 163

mysql× 155

linux× 153

perl× 138

google× 109

dart× 102

[ все метки ]

Лучшее

GM2mars [2]

03 Июн 2014, 17:19

Большой сборник интернет сайтов по веб-разработке и не только

[просмотров 27000]

rediska [65]

20 Дек 2011, 15:53

Удалить пробелы в начале и конце строки и переход на новую строку

[просмотров 17005]

tetro [52]

16 Окт 2011, 15:38

Вывести все элементы POST

[просмотров 16975]

gollem [74]

31 мая 2011, 11:48

Python проверка существования переменной

[просмотров 11395]

fullzilla [100]

19 Дек 2014, 16:16

User-agent для Internet Explorer 11

[просмотров 11378]

jaga [125]

24 Окт 2018, 15:59

React Native и React.js — что и как, в чем разница, где применять

[просмотров 10813]

laborant [4]

10 Окт 2018, 15:33

Как запретить просмотр сайта по IP?

[просмотров 9574]

jaga [125]

21 Июл 2011, 14:04

Python Imaging Library (PIL)

[просмотров 8425]

grom [315]

11 Авг 2011, 00:21

Спецификация HTML5 от W3C

[просмотров 7391]

grom [315]

16 Июл 2011, 20:03

Python работа с MySQL

[просмотров 5647]

Вести с Хабра

05.03.2021 - 15:17

Спектральный анализ пламени костра. Что делает огонь желтым – наночастицы углерода или соли натрия?

В публикациях в интернете по-разному объясняется, как возникает цвет пламени у костра. Существует две принципиально разные версии. В одной говорится, что излучают раскале ...

05.03.2021 - 13:11

[Перевод] NVIDIA Ampere против AMD RDNA 2: битва архитектур

Спустя два года после запуска Turing в сентябре 2020 года NVIDIA сменила архитектуру своих видеокарт на Ampere. AMD не осталась в стороне и вскоре после ...

05.03.2021 - 12:15

[Перевод] Как освоить Vim?

...

05.03.2021 - 12:10

[Перевод] Битсквоттинг сайта Windows.com

Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссы ...

05.03.2021 - 10:05

[Перевод] Угон домена Perl.com

Прим. перев.: в конце января стало известно о том, что один из основных доменов языка программирования Perl — Perl.com — был угнан. Это вызвало смешанную реакцию в сообществе как ...