Rails宝典之第九式: 在日志里过滤敏感数据

最新推荐文章于 2022-09-23 10:24:55 发布
最新推荐文章于 2022-09-23 10:24:55 发布
阅读量1.8k 收藏
点赞数
分类专栏: Ruby 文章标签: rails parameters sql filter action logging
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形式显示在日志文件里: 
Java代码   收藏代码
  1. Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]  
  2.   Session ID: 4047778b64af62d387f7e860e51cce20  
  3.   [color=red]Parameters[/color]: {"user" => {"name" => "Ryan""password_confirmation" => "abc123""password" => "abc123"}, "commit" =>   
  4. "Register""action" => "create""controller" => "users"}  
  5.   SQL (0.000108) BEGIN  
  6.   [color=red]SQL[/color] (0.000238) INSERT INTO users ('name''password') VALUES('Ryan''abc123')  
  7.   SQL (0.000395) COMMIT  
  8. Redirected to http://localhost:3000/users/5  
  9. ...  

我们看到Parameters一行密码是明文显示的,这样当然不安全。 

解决方案也十分简单: 
Java代码   收藏代码
  1. class ApplicationController < ActionController::Base  
  2.   filter_parameter_logging "password"  
  3. end  

这样在Parameters那行就会显示"password_confirmation" => "[FILTERED]","password" => "[FILTERED]" 
filter_parameter_logging的方法定义位于action_pack/lib/action_controller/base.rb。 

但是我们也看到SQL一行也是明文密码,我们的filter不会过滤SQL语句,怎么办? 

解决方案是,部署production环境时,日志不会再打印SQL语句,这样就避免了此问题。
blacksource
关注
专栏目录
Rails 7 开发总结(下)
weixin_41990299的博客
04-08 840
theme: condensed-night-purple 1. 在 Controller 中操作数据 数据库中的每一行都是一个 ActiveRecord 对象,通过对象自带的方法进行 CRUD。每一列是当前对象的属性。 1.1 新增 ```ruby user = User.new # 新建 user.email = '1@x.com' user.password = 'x' u...
敏感信息检查工具 关键字过滤
08-29
敏感词过滤、查找
RailsCasts中文版,#9 Filtering Sensitive Logs 遮盖日志中记录的敏感信息
边晓宇@CSDN
11-19 1555
这是一个用户注册页面,填入用户名和密码按确认提交。 查看后台日志的话,能够发现所有页面提交的参数都是以明文方保存在日志中的。 Processing UsersController#create (for 127.0.0.1 at 2009-01-02 10:13:13) [POST] Parameters: {"user"=>{"name"=>"eifion", "passw
009 过滤敏感日志
weixin_34352005的博客
02-18 102
Filtering Sensitive Logs Are you accepting sensitive user data? Passwords, credit card numbers, etc. By default, Rails stores all submitted parameters in plain text in the logs. This episo...
rails日志过滤字段信息(filter_parameter_logging
ruby 闲谈
03-27 124
filter_parameter_logging : 该方法指定某些字段的内容不能显示在log日志中。 举例: filter_parameter_logging :password, :password_confirmation
rails_rest_vote:RESTful投票宝典,用于Rails应用
04-29
如果您在Web应用程序中以及移动应用程序中使用了诸如angular2之类的任何前端客户端,那将非常有帮助。 先决条件 启用CORS 如果要构建公共API,则可能要启用跨域资源共享(CORS),以使跨域AJAX请求成为可能。 ...
to_xls-rails:将Rails ActiveRecord或Mongid数据导出到Excel文件
04-29
这个简单的插件使您能够调用to_xls到Rails的数组集合。 数组元素支持对象:ActiveRecord,Mongid,哈希。 在您的Gemfile中: gem 'to_xls-rails' # Last officially released gem # gem "to_xls-rails", :git => ...
rogs_on_rails:远程日志...在轨道上!
07-07
使用 rogs_on_rails 记录任何可以发送 HTTP POST 请求的消息。 在 JavaScript 中,此函数将异步执行,触发并忘记: var log = function ( message ) { var xmlhttp = new XMLHttpRequest ( ) ; xmlhttp . open ...
Ruby on Rails中的XSS防御策略:构建安全的Web应用
最新发布
08-18
通过上述措施,Ruby on Rails开发者可以有效地防止XSS攻击,保护Web应用和用户的数据安全。记住,安全是一个持续的过程,需要不断地学习、适应和改进。 通过本文的介绍和示例,你应该能够理解如何在Ruby on Rails中...
graphql-rails-generators:Graphql Rails Scaffold:trade_mark:。 从Rails模型自动生成GraphQL类型
02-05
graphql-rails-generators 一些生成器可以轻松将Rails模型与集成。 我之所以创建它,是因为我浪费了太多的按键来手动复制模型架构以创建graphql类型。 该项目包含用于查看ActiveRecord模型架构的生成器,并为您...
超详细部署ELK日志分析系统!每一步骤都有记录!ELK的详细使用!
qq_41786285的博客
11-18 4013
一、ELK简介 日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 日志是一个非常庞大的数据,并且常常被分散在不同的设备上,这样排查问题的时候找日志就非常繁琐困难。 这时,一个专门处理日志的系统就非常必要,这介绍其中的一种,ELK日志分析系统(ELasticsearch+Logstash+Kiba
#009_过滤日志中的敏感数据
wiisolax的专栏
04-08 446
当我们注册用户的时候,在日志中会自动保存一些敏感的字段,比如password等。 [code="ruby"]Processing LoginController#save (for 127.0.0.1 at 2008-04-08 13:53:22) [POST] Session ID: b40f205b38bd05382dc8ef2f362f5d5b Parameters: {"us...
[安全开发]日志敏感信息检测-2-银行卡
白夜的随笔
10-19 695
前言 银行卡号码格 正则提取 卡bin校验 校验码校验 优化思考 前言 接上一篇文章:[安全开发]日志敏感信息检测-1-身份证 银行卡号码格 银行卡号码由14至19位数字组成,储蓄卡一般是19位、17位和16位,信用卡一般是16位,其中: 前n位:发卡行识别码,用来标识哪个银行发行的卡,在本文中统一简称为“卡bin” 中间位:个人账户标识,由发卡行自己定义,最多12位 末位:校验码,由前面的数字采用Luhn算法计算得出 正则提取 首先通过正则,进行简单的筛选,从日志中提取疑似银行卡号码的数.
Rails 安全之Filtered parameter logging
weixin_34336292的博客
07-27 89
因为最近项目所需,翻到这篇老文,去年8月的文章,比较有用,原文地址:[url]http://weblog.rubyonrails.com/2006/8/21/filtered-parameter-logging[/url]ActionController#filter_parameter_logging 可以用来过滤那些你不想保存在日志中的数据,它可以阻止一些敏感数据赤裸裸的暴露在日志文件中,比如...
日志的敏感信息还在打明文?3 种日志脱敏方案任你选
热门推荐
JiuQianWan的博客
09-23 1万+
背景我们打的日志中经常包含姓名、手机号、银行卡号等敏感信息,如果不做任何处理,就会以明文的形展示在日志中,存在安全风险。像下面这样:我们需要一种能自动帮我们脱敏的工具,效果如下:方案1 - 基于 logback我们得先搞清楚消息内容是在哪处理的,也就是配置文件中这个占位符的内容:对应到源码是这 ch.qos.logback.classic.PatternLayout :这可以看出来都是通...
Log4j日志分类和过滤敏感字段
weixin_39722651的博客
05-08 9499
项目上线时,需要对项目做安全检查,其中有两项是对输出日志进行分类和过滤日志中敏感字段。 项目使用Log4j日志系统,下面简单介绍下这两项要求的实现方。 对日志进行分类,要求调用其他服务的API日志按照格单独输出到一个文件。 方: 除根Logger外,再额外增加一个apiLogger,如下, <!-- api logger的设置--> <logger name="l...
敏 感 信 息 扫 描 工 具 使 用 对 比
weixin_34400525的博客
04-18 1420
0x00 前 言 渗 透 测 试 过 程 中 , 经 常 需 要 对 网 站 进 行 全 面 的 信 息 收 集 , 扫 描 网 站 是 否 存 在 敏 感 信 息 文 件 如 phpinfo 、 日 志 文 件 泄 漏 会 极 大的 方 便我 们 进 一 步 的 渗 透 测 试 , 特 别 是 对 于 一 些 403 网 站 , 通 过 爆 破 web 目 录 和 文 件 的 方 , 对 于...
Rails敏捷开发实践:应用Ruby on Rails构建Web应用第三版
第四章到第九章是实践部分,通过逐步构建一个名为Depot的应用程序来展示Rails的开发流程。这些章节分别涵盖了初始化应用、展示基本功能、货品维护、分类显示、创建购物车以及引入Ajax技术以提升用户体验。每一项任务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值