Ruby China

瞎扯淡 非恶意检测

Rei · 2014年12月09日 · 最后由 wosuopu 回复于 2014年12月09日 · 4898 次阅读

去乌云拿个精华就帮帮忙修这里

1 个赞
无引用文章
alsotang #1 2014年12月09日

已经在修复了,别删这帖子哈,thx。

alsotang #2 2014年12月09日

我已经修了,但是怕一 push 上来没有被及时合并发布。 哪位 ruby-china 的大大看到这帖子就联系我一下吧。 alsotang(aaaaat)gmail.com

1 个赞
Rei #3 2014年12月09日

#2 楼 @alsotang 你可以发 PR 了。

Rei #5 2014年12月09日

#4 楼 @alsotang 部署了,你再试试?

Rei #6 2014年12月09日

#4 楼 @alsotang 我用我想到的注入方式试了试是无效了,如果还有可以发我邮箱,避免真空期被利用。感谢你的贡献。

small_fish__ #7 2014年12月09日

我天真的以为使用 where 就安全了,乌云牛 x.

debugger #8 2014年12月09日

WOW... 怎么注入的,乌云 45 天后公布,关注...是正则导致的?

victor #9 2014年12月09日

这。。。我好像错过了什么,我去看 PR 的代码先

10 楼 已删除
small_fish__ #11 2014年12月09日

#8 楼 @debugger 可以看 pr,不是的。

cisolarix #12 2014年12月09日

我也错过什么高端事件了?

qinshulei #13 2014年12月09日

难道这贴不是 rei 发的。。

debugger #14 2014年12月09日

#11 楼 @small_fish__ pr 只有 1 句话,没搞懂。

debugger #15 2014年12月09日

#10 楼 @special 看起来有可能哦。

debugger #16 2014年12月09日

#13 楼 @qinshulei 这个明显不是 rei 发的,rei 发的帖不是这种 style.

zgm #18 2014年12月09日

alsotang 通过注入用第一个用户发帖。

special #19 2014年12月09日

#16 楼 @debugger 本地试了下,是的。

small_fish__ #20 2014年12月09日

#14 楼 @debugger 应该 mongo 才有这个问题,where 没有 type case?统一 to_s 转译一下吗?,其他数据库应该没有这个问题吧。

realwol #21 2014年12月09日

抓紧时间去别的 mongo 站试试。

alsotang #23 2014年12月09日

#5 楼 @Rei 已经无效了

alsotang #24 2014年12月09日

#21 楼 @realwol 由于有 21L 这样的朋友存在。。。所以就等乌云公布漏洞吧,免得公布太早别的站遭殃。

jex #25 2014年12月09日

@alsotang 你们说的是这个 Bug? http://cirw.in/blog/hash-injection

我年前看到的。

当时还有另一个 Bug:http://cirw.in/blog/node-unicode

我就测试过 RubyChina 把它主页搞挂过。

luikore #26 2014年12月09日

所以 token 改成放在 header 会安全一些...

realwol #27 2014年12月09日

#24 楼 @alsotang 我被你黑了。我都已经说“试试”,证明你的公布与否对我没有什么影响噻。

small_fish__ #28 2014年12月09日

#25 楼 @jex thanks for your share .

wosuopu #29 2014年12月09日

看来 NoSQL 并不就是 No SQL 注入

jex 分享两个博客,其中有提到两个重要的安全漏洞 提及了此话题。 03月29日 12:04
需要 登录 后方可回复, 如果你还没有账号请 注册新账号