https://www.opennet.ru/openforum/vsluhforumID3/88062.html Доступны (http://weblog.rubyonrails.org/2013/1/2/Rails-3-2-10--3-1-9--and-3-0-18-have-been-released/) для внепланового обновления корректирующие выпуски фреймворка Ruby on Rails 3.2.10, 3.1.9 и 3.0.18, в которых устранена опасная уязвимость (https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/DCNTNp_qjFM) (CVE-2012-5664). Уязвимость позволяет осуществить выполнение произвольного SQL-кода на сервере через передачу специально оформленного запроса к web-приложению, использующему интерфейс динамического поиска Active Record в сочетании с передачей переменной без явного преобразования типа (например, уязвимы приложения с кодом подобным Post.find_by_id(params[:id]), для защиты достаточно использовать явное преобразование в строку: Post.find_by_id(params[:id].to_s)). Обновление выпущено в экстренном порядке, так как в сети уже можно найти готовый эксплоит для осуществления атаки.<br><br>URL: https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/DCNTNp_qjFM<br>Новость: http://www.openne https://www.opennet.ru/openforum/vsluhforumID3/88062.html#39 Fri, 04 Jan 2013 18:56:52 GMT И что дальше? переполнению буфера и стрека по боле будет летов.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#38 Fri, 04 Jan 2013 16:07:35 GMT &gt; But ActiveRecord also defines ways for the programmer to inject SQL fragments into the query<br><br>Так это же выходит не баг, это штатное поведение ActiveRecord.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#37 Fri, 04 Jan 2013 07:54:11 GMT &gt; у рельсов там используется десериализация, из которой можно собрать что угодно. Друго <br>&gt; дело, что там вполне разумно прикрылись подписью. Ключ для, которой, по <br>&gt; идее, надо генерировать при каждом развертывании рельсового прииложения или предупреждат <br>&gt; администратора, но этого не сделано во многих опенсорсных проектах.<br><br>В опенсурсе тоже полно г@внокодеров, мнящих себя супер-пупер-мега-дупер-профессионалами.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#35 Fri, 04 Jan 2013 07:52:50 GMT Интеллигентные люди в куки не кладут ничего критичного. По сути, авторизационные куки есть лишь квитанция, что имярек успешно прошел аутентификацию и имеет доступ к тому-то и тому-то. <br><br>Суть, однако, SQL-инъекции - в пропихивании через веб-форму подзапроса UNION с доступом к таблицам пользователей/паролей и эскалация прав в бакэндовой БД до суперпользовательских. С последующим выносом оттуда логинов и паролей пользователей.<br><br>И защита делается либо на стороне сервера приложений (проверяется либо посредством, скажем, GreenSQL или хардкодовой процедурой валидации значений на отсутствие SQL-кейвордов), либо на стороне самой БД, скажем, на уровне табличного интерфейса, обязательного при обращении к таблицам (как это сделано в Oracle).<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#33 Thu, 03 Jan 2013 21:25:15 GMT Это ты сути не понял. Ну придумают какой-то другой путь. Ничему попытки резать HTML-теги в своё время для получения "безопасного" подмножества не научили? Валидация по черным спискам дырява всегда.<br><br>Если уж на что там наезжать - так это на хранение чего-то, что десериализуется напрямую, в куках. Но - положились на HMAC и не вбили генерацию его секрета в дефолтное развертывание приложения. Ну и слишком вольная тактовка параметров всегда злом была. Былоб всё фиксировано - и нет проблем. В общем, вагон мелких и простительных огрехов удачно совпал.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#27 Thu, 03 Jan 2013 18:02:19 GMT &gt; есть, если интересно патчи смотрите <br><br>Это руками за секунды пишется. Если чо. Любым вменяемым девелопером. SQL-инъекции как методике атаки сто лет в обед.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#26 Thu, 03 Jan 2013 18:01:40 GMT &gt; Насколько я понимаю - из-за слишком богатого функционала. Хрен все мыслимые пути <br>&gt; проверишь.<br><br>Помолчи. Два кейворда в строковом значении проверить, прежде, чем кормить это в запрос, может даже дебил. Ты не понимаешь ни сути инъекции, ни реляционных субд в частности. <br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#22 Thu, 03 Jan 2013 17:30:29 GMT у рельсов там используется десериализация, из которой можно собрать что угодно. Друго дело, что там вполне разумно прикрылись подписью. Ключ для, которой, по идее, надо генерировать при каждом развертывании рельсового прииложения или предупреждат администратора, но этого не сделано во многих опенсорсных проектах.<br> https://www.opennet.ru/openforum/vsluhforumID3/88062.html#21 Thu, 03 Jan 2013 17:21:12 GMT Насколько я понимаю - из-за слишком богатого функционала. Хрен все мыслимые пути проверишь.<br>