安全公司Positive security警告称,Ransack库与Ruby on Rails (RoR)应用程序集成不当,可能会让攻击者从后端数据库窃取信息。Ransack允许开发人员向他们的Rails应用程序添加基于对象的搜索。它的便捷性和灵活性使它得到了广泛的应用,但至少从安全的角度来看,它也存在问题。默认情况下,Ransack支持关联对象的查询条件。例如,如果在列出博客文章的页面上运行查询,则可以通过文章与博客对象的关联来包含关于文章作者的条件。Ransack还支持非常有用的命令,这些命令可以附加到字段名,使用' start with '或' contains '等操作符来过滤结果。然而,如果在没有护栏的情况下使用该特性,攻击者可以轻松地遍历域以到达后端数据库系统。
发表于 2023-1-28 14:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡