VDS за 300р от нашего партнера SpaceWeb

xmms [103]

02 Июн 2012, 15:31

SQL-инъекции в Ruby on Rails

ruby on rails информационная безопасность

В популярном фреймворке Ruby on Rails выявлена критическая уязвимость позволяющая злоумышленнику произвести SQL-инъекцию. Уязвимость присутствует в Ruby on Rails 3.x при использовании Active Record для доступа к базе данных и включении поддержки вложенных параметров.

Проблема вызвана отсутствием проверки вложенных параметров запроса в коде Active Record. Конструкция «Post.where(:id => params[:id]).all» в коде Active Record напрямую передает внешние параметры в блок условий WHERE, что позволяет передавать параметры, в результате которых params[:id] вернёт специально изменённый хэш с содержимым дополнительных условий для блока WHERE.

Проблема была устранена в корректирующих выпусках Ruby on Rails 3.0.13, 3.1.5 и 3.2.5.

115 просмотров

Комментарии (0)

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Войдите, чтобы написать о чем-нибудь...

Вход Регистрация

Web.onRails

Найди ответ на любой вопрос по Веб-разработке!

задать вопрос...

Вы можете разместить Рекламный пост самостоятельно, либо отправив контент по адресу admin@webonrails.ru→ Оплата здесь ←Неоплаченные посты удаляются.

Метки:

php× 491

css× 225

python× 209

html× 188

flash× 163

mysql× 155

linux× 153

perl× 138

google× 109

dart× 102

[ все метки ]

Лучшее

tetro [52]

16 Окт 2011, 15:38

Вывести все элементы POST

[просмотров 30188]

GM2mars [2]

03 Июн 2014, 17:19

Большой сборник интернет сайтов по веб-разработке и не только

[просмотров 29079]

rediska [65]

20 Дек 2011, 15:53

Удалить пробелы в начале и конце строки и переход на новую строку

[просмотров 24628]

fullzilla [100]

19 Дек 2014, 16:16

User-agent для Internet Explorer 11

[просмотров 23766]

jaga [125]

24 Окт 2018, 15:59

React Native и React.js — что и как, в чем разница, где применять

[просмотров 15535]

gollem [74]

31 мая 2011, 11:48

Python проверка существования переменной

[просмотров 13854]

kiker [1]

15 Апр 2021, 08:29

Переполнение памяти Nuxt.js

[просмотров 12260]

jaga [125]

21 Июл 2011, 14:04

Python Imaging Library (PIL)

[просмотров 11007]

laborant [4]

10 Окт 2018, 15:33

Как запретить просмотр сайта по IP?

[просмотров 10404]

provod [50]

31 Дек 2011, 14:57

Cron запускать раз в неделю

[просмотров 7946]

Вести с Хабра

25.05.2022 - 16:29

Как мы делаем электросамокаты Halten — из России, от российских инженеров и для российских реалий

Добрый день! Вас приветствует Владимир Боровой, основатель компании Halten — российского разработчика электросамокатов. Да, именно так: российского разработчика. Мы сами силами свое ...

25.05.2022 - 12:00

Гик != айтишник

Я старательно покупаю всё, о чём даже боялся грезить, чувствуя злорадство, но не вост ...

25.05.2022 - 07:39

Как банкротились российские брокеры: куда могут утечь ваши деньги и ценные бумаги

Инвесторов часто учат, дескать «ваши ценные бумаги надежно защищены, даже если с брокером что-то случится – они точно будут в безопасности!» На практике, правда, в России это справе ...

24.05.2022 - 22:59

Асинхронный python без головной боли

...

24.05.2022 - 16:51

Генерация лабиринтов: алгоритм Эллера

Привет, Хабр!Сегодня я хотел бы рассказать о генерации идеального лабиринта - алгоритмом Эллера. Статья подойдёт всем любителям алгоритмов. ...