Ruby China

安全 分享两个博客,其中有提到两个重要的安全漏洞

jex · 2014年12月09日 · 最后由 dimi 回复于 2015年01月30日 · 10680 次阅读
本帖已被管理员设置为精华贴

其它 Ruby 博客我都没订阅过,只有这两个。 一个是 http://codon.com/ ,《Understanding Computation in Ruby》作者(镐头书是神马?我没读过)。

一个是 http://cirw.in/ ,一年前我就看到他讲了 Node's Unicode Dragon:http://cirw.in/blog/node-unicode 当时我好奇就用这个去测试下 RubyChina,一不小心把 topics 页面搞挂后只好向 @lgn21st 认错 TOT。这个不算多大的安全漏洞,但把网站搞挂是轻轻松松的,我估计像薄荷网之类的都没有修复这个问题。

很早前他也提到了 Avoiding MongoDB hash-injection attacks:http://cirw.in/blog/hash-injection 原来 RubyChina 也用 MongoDB 啊,直到今天才中枪:https://ruby-china.org/topics/23093 漏洞详情:http://wooyun.org/bugs/wooyun-2014-086474

国内安全社区 Wooyun 公布这个漏洞已经迟了快一年了:http://drops.wooyun.org/tips/3939 PS:我想起今年 Wooyun 上热议的另一个 Flash 漏洞:http://drops.wooyun.org/papers/1426 ,支付宝也躺枪。其实早在几年前就有人反馈过 ExternalInterface.call 安全漏洞 ,只是奇葩的 Adobe 不肯修复。

最后,广告时间: PlainSite: A Truly Hackable Static Site Generator!https://ruby-china.org/topics/22876

https://jex.im/

19 个赞
无引用文章
small_fish__ #2 2014年12月09日

#1 楼 @jex 我刚订阅了 cirw,谢谢分享。

lgn21st #3 2014年12月09日

谢谢,非常赞的分享!

alsotang #4 2014年12月09日

http://wooyun.org/bugs/wooyun-2014-086474 细节已经公开了,可以加下链接哈

jex #5 2014年12月09日

#4 楼 @alsotang 果然是同一个漏洞,估计这 Bug 也要热一会儿。

PS:其实你们黑了无数遍的 PHP 因为有 TypeHint,不少框架都会利用 Reflection 保证 URL 参数 StrongTyped,如:

<?php
class Controller {
   function actionTopic(int id,string username) {}
}

是不是突然明白了今年 TOIBE 编程语言排行榜 Ruby 排在 PHP 后面是为啥了吧?哈哈

huobazi #6 2014年12月09日

#5 楼 @jex PHP 美元巨多!

jex #7 2014年12月09日

#6 楼 @huobazi JS、jQuery 也 美元巨多

huobazi #8 2014年12月09日

#7 楼 @jex jQuery 只有一点点美元,PHP 遍地都是啊。

jerrychen2008 #9 2014年12月10日

谢谢分享,开眼界了,之前一直没有关注过这个领域!

dimi #10 2015年01月30日

挺好的,又普及了知识

需要 登录 后方可回复, 如果你还没有账号请 注册新账号