Hackers Love Mass Assignment
对于多个变量同时赋值,黑客比较喜欢利用这个特性进行攻击:
比如直接从一个表单中提取参数赋值个一个对象的各个属性,这样做的话,黑客可以通过curl命令来模拟提交表单的各个参数,而在其中加入为一些关键的属性赋值,例如admin=true, 这样黑客就可以获得管理员权限,从而破坏网站。
解决的方法是:
把那些关键属性添加一条命令:
attr_protected :admin
但是这种做法只能保护某一些属性,更好的做法也许是
attr_accessible :name
这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。
对于多个变量同时赋值,黑客比较喜欢利用这个特性进行攻击:
比如直接从一个表单中提取参数赋值个一个对象的各个属性,这样做的话,黑客可以通过curl命令来模拟提交表单的各个参数,而在其中加入为一些关键的属性赋值,例如admin=true, 这样黑客就可以获得管理员权限,从而破坏网站。
解决的方法是:
把那些关键属性添加一条命令:
attr_protected :admin
但是这种做法只能保护某一些属性,更好的做法也许是
attr_accessible :name
这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。
扫一扫
1063
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
