Raills与安全

简介

作为一个 Web 开发者，经常要面临各种安全问题（ SQL 注入，跨站攻击等）。虽然 Rails 默认帮我们做了很多防护，但是如果新手不了解机制，修改默认等配置，可能会导致比较严重的安全隐患。 我们来一个一个介绍下：

SQL Injection

SQL 注入至今都是非常常见的 Web 安全漏洞。主要原理是伪造特殊的输入作为参数传给 Web 应用程序，而这些输入大都是 SQL 中都一些组合，通过执行 SQL 语句进而执行攻击者要进行都操作，主要原因是没有过滤用户输入都数据。

Cross Site Scripting

Rails 默认是做了 XSS 保护的。默认情况下 template 中的所有字符串过滤掉了。比如：

xss_code = "<script>alert('test')</script>"  
<%= xss_code %>  

上面这个代码是安全的。但是下面这个代码就不安全了。

<%= xss_code.html_safe %>  
<%= raw xss_code %>  

Cross-site request forgery

class ApplicationController < ActionController::Base  
  protect_from_forgery with: :exception
end  

默认的情况下，Rails 就通过 protectfromforgery 来解决 XSRF 漏洞。

Redirects and Forwards

这是一个很常见，也比较容易忽略的问题。 比如说http://example.com/redirect_to=http://evilwebsite.com 的网站。从一个正常的网站跳转到一个坏到网站，一般到用户都以为是正常的网站，后期如果让用户输入一些账号密码，都是可能让用户的信息窃取的。 解决方案如下：

 begin
   if path = URI.parse(params[:url]).path
     redirect_to path
   end
 rescue URI::InvalidURIError
   redirect_to '/'
 end

获取PATH部分，确保不跳出自己的站点。

Mass Assignment

可以通过 Strong Parameters 来设置白名单防止 Mass Assignment 攻击。

暴力破解

这是最常见的攻击方式之一，无限穷举账号密码。这个的解决方案也很简单，Rails 也有比较好的方案。 使用 rack-attack 来保护，当某一个IP短时间大量访问你的网站，就把他加到黑名单中。

敏感数据

不要把 database.yml secrets.yml 放到版本库中，使用 env.yml 来存放。

工具：

总结一下几点:

• 不要使用内插式查询。
• 不用 html_safe 和 raw 。
• redirect 的时候就跳转传来参数的path部分。
• 使用 Strong Parameters 设置白名单来防止 Mass Assignment 攻击。
• 使用 rake-attack 来防止暴力破解。
• 不保存敏感数据。
• 用 brakeman 来检查代码的安全性。

参考资料：

https://www.owasp.org/index.php/RubyonRails_Cheatsheet 
https://github.com/presidentbeef/brakeman

转自：http://blog.bringstudio.com/raillsyu-an-quan/