- PVSM.RU - https://www.pvsm.ru -

Массовая уязвимость в проектах на Ruby

Российский разработчик Егор Хомяков сообщил [1] об ещё одной массовой уязвимости в проектах на Ruby. Речь идёт об использовании ^ в начале строки и $ в конце строки регулярных выражений вместо A и z.

Дело в том, что ^ и $ в таких случаях воспринимается Ruby как новые строки (n), что открывает двери для инъекций.

Массовая уязвимость в проектах на Ruby

Хотя официальное руководство по безопасности Ruby on Rails предупреждает [2] об этой опасности, но всё равно подобная небрежность встречается в 90% проектов на Ruby, утверждает Егор, и приводит примеры на Github, Scribd, Tumblr и других сервисах.

Как и в прошлый раз c Rails [3], здесь можно спорить, баг это или «ожидаемое поведение» системы. Но если большинство разработчиков делают ошибку из-за такой «особенности», так почему бы не исправить правила обработки строк в Ruby?

Автор: alizar


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/ruby/7849

Ссылки в тексте:

[1] сообщил: http://homakov.blogspot.com/2012/05/saferweb-injects-in-various-ruby.html#more

[2] предупреждает: http://guides.rubyonrails.org/security.html#regular-expressions

[3] прошлый раз c Rails: http://habrahabr.ru/post/139399/