VDS за 300р от нашего партнера SpaceWeb
[103]
02 Июн 2012, 15:31

SQL-инъекции в Ruby on Rails

В популярном фреймворке Ruby on Rails выявлена критическая уязвимость позволяющая злоумышленнику произвести SQL-инъекцию. Уязвимость присутствует в Ruby on Rails 3.x при использовании Active Record для доступа к базе данных и включении поддержки вложенных параметров.

Проблема вызвана отсутствием проверки вложенных параметров запроса в коде Active Record. Конструкция «Post.where(:id => params[:id]).all» в коде Active Record напрямую передает внешние параметры в блок условий WHERE, что позволяет передавать параметры, в результате которых params[:id] вернёт специально изменённый хэш с содержимым дополнительных условий для блока WHERE.

Проблема была устранена в корректирующих выпусках Ruby on Rails 3.0.13, 3.1.5 и 3.2.5.

#информационная безопасность, #ruby on rails

Комментарии (0)

Добавить комментарий

Войдите, чтобы написать о чем-нибудь...
Вход Регистрация
Web.onRails
Найди ответ на любой вопрос по Веб-разработке!
задать вопрос...
Вы можете разместить Рекламный пост самостоятельно, либо отправив контент по адресу admin@webonrails.ru→ Оплата здесь ←Неоплаченные посты удаляются.
Метки:
Лучшее
[52]
16 Окт 2011, 15:38
Вывести все элементы POST
[просмотров 21783]
[100]
19 Дек 2014, 16:16
User-agent для Internet Explorer 11
[просмотров 15955]
[74]
31 мая 2011, 11:48
Python проверка существования переменной
[просмотров 12954]
[125]
21 Июл 2011, 14:04
Python Imaging Library (PIL)
[просмотров 9984]
[4]
10 Окт 2018, 15:33
Как запретить просмотр сайта по IP?
[просмотров 9867]
[315]
11 Авг 2011, 00:21
Спецификация HTML5 от W3C
[просмотров 7413]
[50]
31 Дек 2011, 14:57
Cron запускать раз в неделю
[просмотров 6564]

Вести с Хабра