瞎扯淡 非恶意检测

Rei · 2014年12月09日 · 最后由 wosuopu 回复于 2014年12月09日 · 4909 次阅读

去乌云拿个精华就帮帮忙修这里

已经在修复了,别删这帖子哈,thx。

我已经修了,但是怕一 push 上来没有被及时合并发布。 哪位 ruby-china 的大大看到这帖子就联系我一下吧。 alsotang(aaaaat)gmail.com

#2 楼 @alsotang 你可以发 PR 了。

#4 楼 @alsotang 部署了,你再试试?

#4 楼 @alsotang 我用我想到的注入方式试了试是无效了,如果还有可以发我邮箱,避免真空期被利用。感谢你的贡献。

我天真的以为使用 where 就安全了,乌云牛 x.

WOW... 怎么注入的,乌云 45 天后公布,关注...是正则导致的?

这。。。我好像错过了什么,我去看 PR 的代码先

10 楼 已删除

#8 楼 @debugger 可以看 pr,不是的。

我也错过什么高端事件了?

难道这贴不是 rei 发的。。

#11 楼 @small_fish__ pr 只有 1 句话,没搞懂。

#10 楼 @special 看起来有可能哦。

#13 楼 @qinshulei 这个明显不是 rei 发的,rei 发的帖不是这种 style.

alsotang 通过注入用第一个用户发帖。

#16 楼 @debugger 本地试了下,是的。

#14 楼 @debugger 应该 mongo 才有这个问题,where 没有 type case?统一 to_s 转译一下吗?,其他数据库应该没有这个问题吧。

抓紧时间去别的 mongo 站试试。

#5 楼 @Rei 已经无效了

#21 楼 @realwol 由于有 21L 这样的朋友存在。。。所以就等乌云公布漏洞吧,免得公布太早别的站遭殃。

@alsotang 你们说的是这个 Bug? http://cirw.in/blog/hash-injection

我年前看到的。

当时还有另一个 Bug:http://cirw.in/blog/node-unicode

我就测试过 RubyChina 把它主页搞挂过。

所以 token 改成放在 header 会安全一些...

#24 楼 @alsotang 我被你黑了。我都已经说“试试”,证明你的公布与否对我没有什么影响噻。

#25 楼 @jex thanks for your share .

看来 NoSQL 并不就是 No SQL 注入

jex 分享两个博客,其中有提到两个重要的安全漏洞 提及了此话题。 03月29日 12:04
需要 登录 后方可回复, 如果你还没有账号请 注册新账号