工业炉厂家
免费服务热线

Free service

hotline

010-00000000
工业炉厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

【新闻】RubyonRails的安全漏洞严重但并不普遍

发布时间:2020-10-14 11:43:18 阅读: 来源:工业炉厂家

?

? ? 一名安全研究人员发现了一种使用Ruby on Rails的 Web应用程序设计来使用第三方认证机构窃取信息的漏洞,Ruby on Rails的开发人员是将其作为固定的Web开发框架的存在,然而现在却可以让攻击者控制应用程序据库,这是由SQL注入的一个微妙的错误。虽然影响可能会造成严重的bug,但大多数应用程序还是不容易出问题的,除非他们使用Authlogic,这是第三方的认证框架,一旦使用就会暴露他们的秘密会话密钥,毕竟,大多数应用程序内部的开发都不会是脆弱的,因为开发人员会生成一个基于散列的消息认证代码(HMAC)的秘密,从而确保应用程序的安全性。

?? ?一般情况下,Ruby on Rails也被称为“越狱”程序调用数据库对象,以防止攻击者发出命令到数据库中,使用一个用户控制进行输入,如搜索框或登录字段。而这次发现的漏洞可能会影响到Ruby on Rails应用程序的一些运行方式,它可能会使攻击者在任何地方进行用户登录,也不会造成一些其他损害,但它可能会导致更严重的数据破坏或只是被证明是无效的攻击,而这点就真的取决于你的应用程序是做什么的。

香奈儿

巴宝莉

巴宝莉