简介
作为一个 Web 开发者,经常要面临各种安全问题(SQL 注入,跨站攻击等)。虽然 Rails 默认帮我们做了很多防护,但是如果新手不了解机制,修改默认等配置,可能会导致比较严重的安全隐患。 我们来一个一个介绍下:
SQL Injection
SQL 注入至今都是非常常见的 Web 安全漏洞。主要原理是伪造特殊的输入作为参数传给 Web 应用程序,而这些输入大都是 SQL 中都一些组合,通过执行 SQL 语句进而执行攻击者要进行都操作,主要原因是没有过滤用户输入的数据。
不使用内插的查询,Rails 就自动过滤用户输入的数据。
Cross Site Scripting
Rails 默认是做了 XSS 保护的。默认情况下 template 中的所有字符串过滤掉了。比如:
xss_code = "<script>alert('test')</script>"
<%= xss_code %>
上面这个代码是安全的。但是下面这个代码就不安全了。
<%= xss_code.html_safe %>
<%= raw xss_code %>
Cross-site request forgery
class ApplicationController < ActionController::Base
protect_from_forgery with: :exception
end
默认的情况下,Rails 就通过 protect_from_forgery 来解决 XSRF 漏洞。
Redirects and Forwards
这是一个很常见,也比较容易忽略的问题。 比如说 http://example.com/redirect_to=http://evilwebsite.com 的网站。从一个正常的网站跳转到一个坏的网站,一般到用户都以为是正常的网站,后期如果让用户输入一些账号密码,都是可能导致用户的信息被窃取的。 解决方案如下:
begin
if path = URI.parse(params[:url]).path
redirect_to path
end
rescue URI::InvalidURIError
redirect_to '/'
end
获取 PATH 部分,确保不跳出自己的站点。
Mass Assignment
可以通过 Strong Parameters 来设置白名单防止 Mass Assignment 攻击。
暴力破解
这是最常见的攻击方式之一,无限穷举账号密码。这个的解决方案也很简单,Rails 也有比较好的方案。 使用 rack-attack 来保护,当某一个 IP 短时间大量访问你的网站,就把他加到黑名单中。
敏感数据
不要把 database.yml secrets.yml 放到版本库中,使用 env.yml 来存放。
总结:
总结一下几点:
- 不要使用内插式查询。
- 不用 html_safe 和 raw。
- redirect 的时候就跳转传来参数的 path 部分。
- 使用 Strong Parameters 设置白名单来防止 Mass Assignment 攻击。
- 使用 rack-attack 来防止暴力破解。
- 不保存敏感数据。
- 用 brakeman 来检查代码的安全性。
参考资料: https://www.owasp.org/index.php/Ruby_on_Rails_Cheatsheet https://github.com/presidentbeef/brakeman
String to Hash 不要用
eval(String)
如果不怕死可以执行如下代码 (会删除所有文件哦 - - 千万不要执行。):
eval("hi; end; system("rm -rf /*"); # ")
#3 楼 @zhaozijie 其实是为了防比如你这个地方是输入框 然后别人输入什么你没做检测,呈现的时候用了 eval 什么的方法。然后估么着整个人都斯巴达了。
