Rails框架再爆严重安全漏洞

最新推荐文章于 2023-10-04 00:30:00 发布
最新推荐文章于 2023-10-04 00:30:00 发布
阅读量162 收藏
点赞数
文章标签: ruby json
Ruby on Rails近日被发现了两个新的安全漏洞。

1.  CVE-2013-0156

该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。

受影响版本:所有版本
修复版本:3.2.11、3.1.10、3.0.19、2.3.15

2.  CVE-2013-0155

当Active Record与JSON参数解析结合使用时,会存在安全风险。

受影响版本:3.x分支
修复版本:3.2.11、3.1.10和3.0.19

建议受影响版本的用户尽快升级。本月初,Ruby on Rails也曾爆出一个SQL注入漏洞。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/301743/viewspace-752493/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/301743/viewspace-752493/

cuiao6729
关注
CVE-2018-3760漏洞复现(任意文件读取)
千寻的博客
01-07 4109
CVE-2018-3760漏洞复现(任意文件读取) 0x00 漏洞介绍 Ruby On Rails是一个著名的Ruby Web开发框架,它使用链轮作为开发环境中的静态文件服务器。Sprockets是一个编译和分发静态资源文件的Ruby库。 在Ruby 3.7.1和更低版本中,存在由辅助解码引起的路径遍历漏洞。攻击者可以使用%252e%252e/访问根目录并读取或执行目标服务器上的任何文件。 0x...
Ruby On Rails代码执行漏洞(CVE-2020-8163)技术分析与研判防护
不忘初心,护天下安全!
07-18 1586
RubyonRails5.0.1之前版本存在代码注入漏洞。远程攻击者可利用该漏洞发送特制请求执行任意代码。参考https//github.com/QianliZLP/CVE-2020-8163-即可。RubyonRailsRails团队的一套基于Ruby语言的开源Web应用框架。system(“【具体指令】”);在研判中较为明显,一般为。......
漏洞复现----15、Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)
七天
11-08 898
文章目录一、Ruby on Rails 简介二、漏洞简介三、漏洞复现 一、Ruby on Rails 简介 Ruby on Rails(官方简称为 Rails,亦被简称为 RoR),是一个使用 Ruby 语言写的开源 Web 应用框架,它是严格按照 MVC 结构开发的。它努力使自身保持简单,来使实际的应用开发时的代码更少,使用最少的配置。 Rails 的设计原则包括 “不做重复的事”(Don’t Repeat Yourself)和 “惯例优于设置”(Convention Over Configurati
Ruby On Rails漏洞(CVE-2019-5418)
weixin_47493074的博客
09-16 480
Rails2019在控制器中通过render file形式来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体的位置。
Ruby On Rails 路径穿越漏洞(CVE-2018-3760)
weixin_46801402的博客
11-02 399
Ruby On Rails 路径穿越漏洞(CVE-2018-3760)
Ruby on Rails中的安全性和授权管理
# 1. 简介 ## 1.1 Ruby on Rails简介 ## 1.2 安全性和授权管理的重要性 ...本文将介绍Ruby on Rails中常见的安全漏洞和对策,以及授权管理的最佳实践,帮助开发者加强对系统安全的认识和控制。 ## 2. 常见
安全编程最佳实践与漏洞修复指南
通过采用安全编程实践,开发人员可以减少安全漏洞的发生,提高系统的安全性。 ## 1.2 为什么安全编程很重要 在当今数字化时代,软件系统面临着各种安全威胁,如数据泄露、恶意软件攻击、身份盗窃等。安全编程的...
JFinal框架中的安全防护与权限控制
它采用了类似Ruby on Rails的编程风格,通过约定优于配置的理念,提高了开发效率,并且具备很好的扩展性。 ## 1.2 JFinal框架的特性 JFinal框架具有以下几个主要特性: - MVC架构:采用Model-View-Controller设计...
2021 OWASP TOP 10 漏洞指南
悦分享
07-31 3818
​ 在开放Web应用基金会致力于创造一个更安全的网络应用环境。它免费提供文章、工具、技术和论坛,让每个开发人员都能创建安全的代码。其最著名的项目之一是 OWASP Top 10。
安全编码实践与常见漏洞防范
安全编码是保证软件系统安全性的重要一环,通过本章我们将了解安全编码的概念、重要性、原则以及关键步骤,为我们后续的安全编码实践奠定基础。 ## 1.1 安全编码的重要性 在当今信息化时代,安全性成为软件开发过程...
漏洞复现----14、Ruby On Rails 路径穿越漏洞(CVE-2018-3760)
七天
11-08 1312
文章目录一、Ruby on Rails 简介二、漏洞简介1、Sprockets简介三、漏洞复现 一、Ruby on Rails 简介 Ruby on Rails(官方简称为 Rails,亦被简称为 RoR),是一个使用 Ruby 语言写的开源 Web 应用框架,它是严格按照 MVC 结构开发的。它努力使自身保持简单,来使实际的应用开发时的代码更少,使用最少的配置。 Rails 的设计原则包括 “不做重复的事”(Don’t Repeat Yourself)和 “惯例优于设置”(Convention Ove
十二、【漏洞复现】Rails任意文件读取(CVE-2019-5418)
最新发布
weixin_52351575的博客
10-04 441
它努力使自身保持简单,来使实际的应用开发时的代码更少,使用最少的配置。Rails在开发环境下使用Sprockets作为静态文件服务器,Sprockets是编译及分发静态资源文件的Ruby库。在Sprockets部分版本中因为二次解码导致的路径穿越漏洞,攻击者可以利用该漏洞来跨越到根目录,读取或执行目标服务器上任意文件。要修复此漏洞,您需要升级到Rails版本6.0.3.2更高版本。3.flag位置:../../../../../../../../proc/self/environ{{
Rails存在安全问题:数月前发现的漏洞正被利用
测试
06-01 157
Ruby-On-Rails网站的用户和管理员发现他们正面临着恶意软件的攻击,该攻击利用了今年1月公布的一项Ruby安全漏洞。该漏洞一旦被利用,未打补丁的系统会直接从远程计算机上下载特定代码,编译一份IRC客户端,然后加入特定频道并等待下一步指令。松懈的安全策略暴露了出来,与此同时,这些攻击也尖锐地提醒了我们迅速部署补丁的重要性。\原始的漏洞是通过CVE-2013-0156宣布的,它位于Ruby o...
Ruby on Rails路径穿越与任意文件读取漏洞分析(CVE-2019-5418)
whatday的专栏
08-27 1096
Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架,构建在 Ruby 语言之上。它被宣传为现有企业框架的一个替代,而它的目标,就是让 Web 开发方面的生活,变得更轻松。 【CVE-2019-5418】漏洞公告:公告地址。 Versions Affected: All. Not affected: None. Fixed Versions: 6.0.0.beta3, 5.2.2.1, 5.1.6.2, 5.0.7.2, 4.2.1.
Mass assignment 漏洞
kezhen的专栏
06-07 6172
1、http://blog.mhartl.com/2008/09/21/mass-assignment-in-rails-applications/ This is a brief review of mass assignment in Rails. See the follow-up post on Finding and fixing mass assignment probl
Vulhub - Ruby On Rails 路径穿越漏洞(CVE-2018-3760)复现
多崎巡礼的博客
10-30 3706
Ruby On Rails 路径穿越漏洞(CVE-2018-3760) Ruby On Rails在开发环境下使用Sprockets作为静态文件服务器,Ruby On Rails是著名Ruby Web开发框架,Sprockets是编译及分发静态资源文件的Ruby库。 Sprockets 3.7.1及之前版本中,存在一处因为二次解码导致的路径穿越漏洞,攻击者可以利用%252e%252e/来跨越到...
ruby on rails爬坑(一):用户账号密码管理
沉淀
12-22 1704
一,相关资料惯例,先上文档,BCrypt::Engine主要用于生成随机字符串,hash值。BCrypt::Engine 二,内容及思路最近的项目需要引进用户管理,主要功能有:注册新用户 修改密码 登录验证 思路: 数据库user表结构: 整体流程:核心内容,看这个就够了 数据库里存了encrypted_password,salt两个关键的项。用户注册的时
分析下难得一见的ROR的RCE(CVE-2013-0156)
weixin_34344403的博客
03-08 330
clozure · 2013/01/14 11:060x00 背景关于该漏洞的详细说明,GaRY已经在zone中的一文中说的很清楚,因此本文主要的作用是科普下ROR的知识,大牛们请止步.简单的说,ROR是一款基于Ruby编程语言(钓鱼岛是中国的,Ruby是全世界的)的敏捷Web开发框架,具有开箱即用的优点,为广大码畜提供了一揽子的MVC解决方案,因此在像笔者这样的自明文艺的码畜中流行度尚可。然而,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值