Rails 安全性漏洞一則 -- attr_protected 與 attr

Rails中有個安全性漏洞，請參考

* http://manuals.rubyonrails.com/read/chapter/47
* http://www.javaeye.com/topic/58686

假設我們有個users table，表格欄位如下：

* username # 很明顯就是帳號
* password # 這就是密碼
* role # 權限名稱

而我們提供給使用者註冊的頁面只會有username跟password欄位

<%= form_tag :action => "signup" %>
<%= text_field "user", "username" %>
<%= password_field "user", "password" %>
</form>

會產生以下HTML↓

<form action="http://www.xxx.com/user/signup">
<input type="text" name="user[username]" />
<input type="password" name="user[password]" />
</form>

這時，一個使用者如果自己寫出一個表單：

<form action="http://www.xxx.com/user/signup">
<input type="text" name="user[username]" />
<input type="password" name="user[password]" />
<input type="hidden" name="user[role]" value="admin" />
</form>

然後你的後端如果是這樣：

User.create(params[:user])

哦.. 這就真的好玩了..
使用者在註冊時直接提權..
那這要怎樣處理呢？

我們可以在
app/model/user.rb
內新增這行：

attr_protected :role

這樣一來，該欄位就會確定被忽略掉而不會被新增..
不過你得做一下這道手續：

user = User.new(params[:user])
user.role = sanitize_properly(params[:user][:role])

===== 分 - 隔 - 線 =====

另外，我們可以使用

attr_accessible :username, :password

這有點類似白名單的方式，可以過濾掉沒出現的欄位...

hechian

卐只有兩面的盒子卍

hechian 發表在痞客邦留言(0) 人氣(570)

卐只有兩面的盒子卍

妳我進行著美麗的故事.. 我靜靜的摟著.. 靜靜的用心向妳訴說.. 我倆不可分離的原因..

Rails 安全性漏洞一則 -- attr_protected 與 attr_accessible

工商服務Logo

BlogAds

自訂側欄

我的觀察

熱門文章

近期文章

文章分類

囉哩囉唆 (4)

Ruby (1)

心情記事 (2)

作業系統 (1)

遊樂天地 (1)

Linux Users Group (1)

PHP好有趣 (2)

Linux真好玩 (3)

Perl研究日 (2)

Ruby學習史 (4)

輕鬆小品 (3)

XML學習日誌 (2)

文章彙整

自訂側欄

參觀人氣