Rails 爆出严重安全漏洞

2012-03-05 04:04:25 +08:00
 blacktulip
Egor Homakov 这位俄罗斯黑客发现了 Rails 的严重安全漏洞。

他在 http://homakov.blogspot.com/2012/03/egor-stop-hacking-gh.html 这篇文章中声称,由于 Rails 的开发人员忽略他的意见,他决定进行一下试验,拿 Github 开刀。

他已经做到冒充其它用户发 post ,删除其他用户的 post ,以及对任意 repository 进行 pull/commit/push 操作。为了证明他的话,他在 Rails 的 Master 里头 commit 了一下,见截图。

http://img.ly/eMCI

他说不仅仅是 Github 。许多 Rails 开发的 app 都存在这个安全问题。
6913 次点击
所在节点    Ruby on Rails
25 条回复
ShiningRay
2012-03-05 14:29:59 +08:00
@est Worse is better。

想想PHP,我很久没写PHP了,现在不知道情况如何。很多人现在学写PHP还是在用老套的方法,甚至 5.0 时代还有很多人要把 register global 打开。也有相当多的人,他们并不知道使用一套PHP框架,也不会去做防sql注入的工作。如果这些都是PHP的责任的话,那PHP就累死了。

还有比如Rails内置的防CSRF功能,我见过不少人是直接关闭的。

所以,底层框架是弥补不了使用者的偷懒的。

PS: 我隐约记得 C vs C++ 也有很多类似的讨论。
est
2012-03-05 16:15:46 +08:00
@ShiningRay


> 底层框架是弥补不了使用者的偷懒的。

那为什么java/python等语言就很少有C/C++里面那种strcpy()溢出?
ssword
2012-03-05 17:38:44 +08:00
@est 语言再好,阻止不了人写烂代码。Java的垃圾代码海了去了。有了垃圾收集,防止菜鸟用户轰掉自己腿的保护机制上来,又快又安全的高质量代码就从天上掉下来了?

写的代码不好可以怨语言,但是首先人自身肯定有问题。
chloerei
2012-03-05 17:56:48 +08:00
Rails Master 分支默认开启属性白名单了

https://github.com/rails/rails/commit/641a4f62405cc2765424320932902ed8076b5d38

github 团队证明了确实单靠开发者自我约束确实是很大风险。[您获得了奖杯:中下水平Rails开发者!]
ccinls
2012-03-06 03:16:05 +08:00
完全是开发者的问题,不是Rails的漏洞~ http://yes2.me/archives/1440

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/28768

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX