- PVSM.RU - https://www.pvsm.ru -
Российский разработчик Егор Хомяков сообщил [1] об ещё одной массовой уязвимости в проектах на Ruby. Речь идёт об использовании ^
в начале строки и $
в конце строки регулярных выражений вместо A
и z
.
Дело в том, что ^
и $
в таких случаях воспринимается Ruby как новые строки (n
), что открывает двери для инъекций.
Хотя официальное руководство по безопасности Ruby on Rails предупреждает [2] об этой опасности, но всё равно подобная небрежность встречается в 90% проектов на Ruby, утверждает Егор, и приводит примеры на Github, Scribd, Tumblr и других сервисах.
Как и в прошлый раз c Rails [3], здесь можно спорить, баг это или «ожидаемое поведение» системы. Но если большинство разработчиков делают ошибку из-за такой «особенности», так почему бы не исправить правила обработки строк в Ruby?
Автор: alizar
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/ruby/7849
Ссылки в тексте:
[1] сообщил: http://homakov.blogspot.com/2012/05/saferweb-injects-in-various-ruby.html#more
[2] предупреждает: http://guides.rubyonrails.org/security.html#regular-expressions
[3] прошлый раз c Rails: http://habrahabr.ru/post/139399/
Нажмите здесь для печати.