分享 Rails 与安全

zhaozijie · 2015年03月13日 · 最后由 huopo125 回复于 2015年04月10日 · 9079 次阅读
本帖已被管理员设置为精华贴

简介

作为一个 Web 开发者,经常要面临各种安全问题(SQL 注入,跨站攻击等)。虽然 Rails 默认帮我们做了很多防护,但是如果新手不了解机制,修改默认等配置,可能会导致比较严重的安全隐患。 我们来一个一个介绍下:

SQL Injection

SQL 注入至今都是非常常见的 Web 安全漏洞。主要原理是伪造特殊的输入作为参数传给 Web 应用程序,而这些输入大都是 SQL 中都一些组合,通过执行 SQL 语句进而执行攻击者要进行都操作,主要原因是没有过滤用户输入的数据。

不使用内插的查询,Rails 就自动过滤用户输入的数据。

Cross Site Scripting

Rails 默认是做了 XSS 保护的。默认情况下 template 中的所有字符串过滤掉了。比如:

xss_code = "<script>alert('test')</script>"
<%= xss_code %> 

上面这个代码是安全的。但是下面这个代码就不安全了。

<%= xss_code.html_safe %>
<%= raw xss_code %>

Cross-site request forgery

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception
end

默认的情况下,Rails 就通过 protect_from_forgery 来解决 XSRF 漏洞。

Redirects and Forwards

这是一个很常见,也比较容易忽略的问题。 比如说 http://example.com/redirect_to=http://evilwebsite.com 的网站。从一个正常的网站跳转到一个坏的网站,一般到用户都以为是正常的网站,后期如果让用户输入一些账号密码,都是可能导致用户的信息被窃取的。 解决方案如下:

begin
  if path = URI.parse(params[:url]).path
    redirect_to path
  end
rescue URI::InvalidURIError
  redirect_to '/'
end

获取 PATH 部分,确保不跳出自己的站点。

Mass Assignment

可以通过 Strong Parameters 来设置白名单防止 Mass Assignment 攻击。

暴力破解

这是最常见的攻击方式之一,无限穷举账号密码。这个的解决方案也很简单,Rails 也有比较好的方案。 使用 rack-attack 来保护,当某一个 IP 短时间大量访问你的网站,就把他加到黑名单中。

敏感数据

不要把 database.yml secrets.yml 放到版本库中,使用 env.yml 来存放。

总结:

总结一下几点:

  • 不要使用内插式查询。
  • 不用 html_safe 和 raw。
  • redirect 的时候就跳转传来参数的 path 部分。
  • 使用 Strong Parameters 设置白名单来防止 Mass Assignment 攻击。
  • 使用 rack-attack 来防止暴力破解。
  • 不保存敏感数据。
  • 用 brakeman 来检查代码的安全性。

参考资料: https://www.owasp.org/index.php/Ruby_on_Rails_Cheatsheet https://github.com/presidentbeef/brakeman

原文: http://blog.bringstudio.com/raillsyu-an-quan/

String to Hash 不要用 eval(String) 如果不怕死可以执行如下代码 (会删除所有文件哦 - - 千万不要执行。): eval("hi; end; system("rm -rf /*"); # ")

#2 楼 @hging Ruby2.2 的 Hash 可以回收了吧。

第二个点很棒的。一般这种调用系统命令的 都要过滤的。

#3 楼 @zhaozijie 其实是为了防比如你这个地方是输入框 然后别人输入什么你没做检测,呈现的时候用了 eval 什么的方法。然后估么着整个人都斯巴达了。

谢谢总结分享

匿名 #8 2015年03月13日

:plus1:

@zhaozijie html_safe 也不是绝对不能用吧,自己有些 html 代码要拼装的时候,还是经常会用到啊。

#9 楼 @peter nod。很多地方还是需要用到 html_safe 的。但用的前提是里面的内容必须保证是安全的。

赞 Raills -> Rails

#11 楼 @jyootai 改过来了,哈哈,谢谢。

http://guides.rubyonrails.org/security.html 官方 Guide 里也有很多有用的信息。

rake-attack -> rack-attack

#14 楼 @wosuopu 改正了,谢谢。

谢谢分享

html_safe 一般还是要过滤 这种标签吧</p>

谢谢分享

👍 谢谢分享!

感谢分享!

:plus1: 谢谢分享

需要 登录 后方可回复, 如果你还没有账号请 注册新账号