監理、測試及咨詢服務

0512-62620800-1

評估測試服務(登記測試)

0512-62620800-737

IT綜合服務

0512-62620800-701

首頁> 公司資訊> 行業新聞動態

Rails 爆 SQL 注入漏洞,3.x 所有版本受影響

發布時間:2012.06.13
Ruby on Rails近日爆出了一個關鍵的漏洞,該漏洞允許攻擊者在數據庫服務器上執行SQL命令,比如,攻擊者可以發起SQL注入攻擊來讀取未經授權的機密信息。目前該漏洞已修復,可通過文章最后的鏈接下載修復版本。
這是由于ActiveRecord處理嵌套查詢參數的方式所致,攻擊者可以使用特定的請求,向應用程序的SQL查詢中注入某些形式的SQL語句。

比如,受影響的代碼可以直接傳遞請求參數到ActiveRecord類中的where方法,如下:
Ruby代碼
  1. Post.where(:id => params[:id]).all   

攻擊者可以發起一個請求,導致params[:id]返回一個特定的哈希值,從而使WHERE從句可以查詢任意數據表。

受影響的版本:3.0.0及之后的所有版本

未受影響的版本:2.3.14

修復版本下載

国产粉嫩午夜福利在线播放|亚洲制服精品无码中文|免费A级毛片又大又粗又黑|乱色国内精品视频在线