http://blog.inouetakuya.info/entry/2014/06/08/194015
安全ãªWebアプリを作りãŸã‘ã‚Œã°æ–°ã—ã„フレームワークãŒã‚ªã‚¹ã‚¹ãƒ¡ | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜
例ãˆã°ï¼ŒRailsã®å…¥åŠ›ã®ã‚»ã‚ュリティ対ç–ã¯ã‚»ã‚ュアã§ã‚ã‚‹ã¨ã¯è¨€ãˆã¾ã›ã‚“。Railsã®ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ã¯ã€Œãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã«ãƒ‡ãƒ¼ã‚¿ãŒä¿å˜ã•ã‚Œã‚‹å‰ã€ã«è¡Œã‚ã‚Œã¾ã™ã€‚データベースã«ãƒ‡ãƒ¼ã‚¿ã‚’ä¿å˜ã™ã‚‹å¿…è¦ãŒãªã„よã†ãªã‚¢ãƒ—リケーションã®å ´åˆï¼Œå…¥åŠ›ã®ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ã‚’フレームワークã¨ã—ã¦è¡Œã†ä»•çµ„ã¿ã«ãªã£ã¦ã„ã¾ã›ã‚“。本æ¥å…¥åŠ›ã¯ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹åˆ©ç”¨ã®æœ‰ç„¡ã«é–¢ã‚らãšå…¥åŠ›ã‚’å—ã‘入れãŸç›´å¾Œã«è¡Œã†ã¹ãã§ã™ã€‚多ãã®ãƒ•ãƒ¬ãƒ¼ãƒ ワークãŒRailsã®å½±éŸ¿ã‚’å—ã‘åŒæ§˜ã®ä»•æ§˜ã¨ãªã£ã¦ã„ã¾ã™ã€‚RailsãŒè„†å¼±ãªä»•æ§˜ã‚’採用ã—ãŸã“ã¨ã¯ä¸å¹¸ãªã“ã¨ã ã£ãŸã¨æ€ã„ã¾ã™ã€‚ ……。 ã¾ãšã€ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ã¯ã‚»ã‚ュリティã®ãŸã‚ã«ã™ã‚‹å‡¦ç†ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ãŸã¾ãŸã¾ã‚»ã‚ュリティã®å½¹ã«ç«‹ã¤ã“ã¨ã‚‚ã‚ã‚Šã¾ã™ãŒã€å½¹ã«ç«‹ãŸãªã„ã“ã¨ã‚‚ã‚ã‚Šã¾ã™ã€‚ãŸã¨ãˆã°ã€å•ã„åˆã‚ã›ãƒ•ã‚©ãƒ¼ãƒ ã«æœ¬æ–‡ã®å…¥åŠ›æ¬„ãŒã‚ã‚Šã€ä»»æ„ã®ãƒ†ã‚ストãŒå…¥åŠ›ã§ãã¦ã€DBã«ã¯Textåž‹ (ä»»æ„ã®é•·ã•ã®ä»»æ„ã®ãƒ†ã‚スト) ã¨ã—ã¦ä¿å˜
Route 477(2009-10-13)
â– [rails] Rails3ã«ã€Œãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§HTMLエスケープã™ã‚‹æ©Ÿèƒ½ã€ãŒå…¥ã£ãŸã‚‰ã—ã„ ERBã§ã¯ã€Œ<%= foo %>ã€ãŒã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ãªã—ã€ã€Œ<%= h foo %>ã€ãŒã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã‚ã‚Šã§ã™ãŒã€ Rails3ã®trunkã§ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§HTMLエスケープを行ã†æ©Ÿèƒ½ãŒå…¥ã£ãŸãã†ã§ã™ã€‚ Riding Rails: What's New in Edge Rails 安全ã®ãŸã‚ã«ã€Œ<%= foo %>ã€ã®æ–¹ã‚’エスケープã‚ã‚Šã«ã™ã¹ãã ã‚ã†ã¨ã„ã†è°è«–ã¯å‰ã‹ã‚‰ã‚ã£ã¦ã€ 実装もErubis(オプションã§å¯èƒ½)ã¨ã‹ SafeERB*1 *2ã¨ã‹ ã‚ã£ãŸã‚ã‘ã§ã™ã‘ã©ã€ã§ãã‚Œã°Rails標準ã§ãã†ãªã£ã¦ãŸæ–¹ãŒè‰¯ã„ã—ã€ãã®å¤‰æ›´ã‚’入れるãªã‚‰ç¢ºã‹ã«ãƒãƒ¼ã‚¸ãƒ§ãƒ³2→3ã®ä»Šã—ã‹ãªã„æ°—ãŒã—ã¾ã™ã€‚ エスケープを無効ã«ã™ã‚‹ã«ã¯String#html_safe!を呼ã¶ã‹ã€ãƒ—ラグインã§ã€Œ<%= raw foo %>ã€ã®ã‚ˆã†ã«æ›¸ã‘ã‚‹
ãã‚ã‚ã‚Railsã«ã¤ã„ã¦æœ¬éŸ³ã‚’書ã„ã¦ã¿ã‚‹ã‹ - ã²ãŒã‚„ã™ã‚’ blog
最近ã®å¤§ç”°ã•ã‚“@mixiã®ã¨ã“ã‚ã§ã€Rubyã«ã¤ã„ã¦è€ƒå¯Ÿã™ã‚‹æ©Ÿä¼šãŒã‚ã£ãŸã®ã¨ã€ã‚ˆã†ã„ã¡ã‚ã†ã®è€ƒãˆã¨åŒã˜ã“ã¨ã‚’æ€ã£ã¦ã„ãŸã®ã§ã€ãŸã¾ã«ã¯æœ¬éŸ³ã§æ›¸ã„ã¦ã¿ã‚‹ã€‚ Railsã§ã€æœ€ã‚‚良ã„ã¨ã“ã‚ã¯ã€ãƒ†ã‚¹ãƒˆã®é››å½¢ã‚‚自動的ã«ä½œã£ã¦ãã‚Œã¦ã€ãƒ†ã‚¹ãƒˆã®æ•·å±…を下ã’ã¦ãã‚Œã¦ã‚‹ã¨ã“ã‚ã ã¨æ€ã†ã€‚ãªã®ã«ã€ãã‚Œã«ã¤ã„ã¦è§¦ã‚Œã‚‹äººãŒã‚ã¾ã‚Šã«ã‚‚å°‘ãªã„よã†ãªæ°—ãŒã™ã‚‹ã€‚一応ã€ç§ã¯ã€1å¹´åŠä»¥ä¸Šã€ã¯ã¦ãªã®ã‚ーワード検索ã§æ¯Žæ—¥Railsã«ã¤ã„ã¦ã¯èª¿ã¹ã¦ã„ã‚‹ã®ã§ã€ã¯ã¦ãªã§Railsã«ã¤ã„ã¦æ›¸ã„ã¦ã„る人ã®è¨˜äº‹ã¯ãŸã„ã¦ã„見ã¦ã„ã¾ã™ã€‚ ç†ç”±ã¯ã€ã„ãã¤ã‹è€ƒãˆã‚‰ã‚Œã¾ã™ãŒã€ç§ã®èªã¿ã ã¨ã€ãƒ†ã‚¹ãƒˆãŒå½“ãŸã‚Šå‰ã®äººã«ã¨ã£ã¦ã¯ã€å½“ãŸã‚Šå‰ã™ãŽã¦ã‚ã–ã‚ã–書ãæ„味ãŒãªã„ã—ã€ãã†ã§ã¯ãªã„多ãã®äººã«ã¨ã£ã¦ã¯ã€ã»ã¨ã‚“ã©ãƒ†ã‚¹ãƒˆã¯æ›¸ã„ã¦ã„ãªã„ã‚“ã˜ã‚ƒãªã„ã‹ãªã€‚ 実ã¯ã€ãƒ†ã‚¹ãƒˆã‚’書ãã®ã¯çµæ§‹å·¥æ•°ã‹ã‹ã‚‹ã‚“ã§ã™ã‚ˆã€‚スクリプト言語ã¯ã€ã‚³ãƒ³ãƒ‘イラãŒãƒŸã‚¹ã‚’æ•™ãˆã¦ãれるã“ã¨ã¯ãªã„ã®ã§ã€Javaã¨æ¯”
#8371 (to_json cross site scripting security issue (XSS)) - Rails Trac - Trac
Description To json is almost only used for injecting object hashes into javascript. var client = <%= client.to_json %>; Because to_json does not escape its values, it's easy to construct a Cross Site Scripting exploit. If client has a name attribute, to_json will come up with something like: var client = {attributes: {name: "TEST"}}; If we change the name to say: TEST"}}; alert('XSS!!') ;a={{" we
Webアプリケーションセã‚ュリティフォーラム- Journal InTime(2007-07-05)
_ Webアプリケーションセã‚ュリティフォーラムã¨ã„ã†ã‚ã‘ã§ã€ç™ºè¡¨ã—ã¦æ¥ãŸã€‚ スライド(PDF) スライド原稿(RD) 自分ã®ç™ºè¡¨ã¯ã¨ã‚‚ã‹ã興味深ã„話を色々èžã‘ã¦ã‚ˆã‹ã£ãŸã€‚ ã¨ãã«å¥¥ã•ã‚“ã¨é«˜æœ¨å…ˆç”Ÿã®ãƒãƒˆãƒ«ãŒé¢ç™½ã‹ã£ãŸã€‚ 追記: リクエストãŒã‚ã£ãŸã®ã§ãƒãƒˆãƒ«ã®å†…容ã«ã¤ã„ã¦å°‘ã—。 (曖昧ãªè¨˜æ†¶ã«åŸºã¥ãå†ç¾ã§è¨€ã„回ã—ã¯é•ã†ã¨æ€ã†ã—ã€å†…容ã«ã‚‚ç§ã®å‹˜é•ã„ãŒã‚ã‚‹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。念ã®ãŸã‚) 高木先生 Greasemonkeyã®èª¬æ˜Žã®éƒ¨åˆ†ãŒã‚ˆãèžã“ãˆãªã‹ã£ãŸã‚“ã§ã™ãŒã€‚ 奥ã•ã‚“ (内容を説明) 高木先生 ãˆãˆã¨ã€ã€Œã‚¯ãƒƒã‚ーãŒæ¼æ´©ã™ã‚‹ç¨‹åº¦ãªã®ã§å•é¡Œãªã„ã€ã¨èžã“ãˆãŸã‚ˆã†ãªæ°—ãŒã—ãŸã‚“ã§ã™ãŒã€‚ ç§ã®å¿ƒã®å£° (最åˆã‹ã‚‰èžã“ãˆã¦ãŸã‚“ã˜ã‚ƒâ€¦) 奥ã•ã‚“ ãƒãƒ¼ã‚«ãƒ«ãƒ•ã‚¡ã‚¤ãƒ«ã«ã‚¢ã‚¯ã‚»ã‚¹ã§ããŸã‚Šã€ä»»æ„ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã•ã‚ŒãŸã‚Šã™ã‚‹ã®ã«æ¯”ã¹ã‚Œã°ã€ã¨ã„ã†ã“ã¨ã§ã™ã。 高木先生 ã„ã‚„ã€ãã‚Œã¯é•ã†ã¨æ€ã†ã‚“ã§ã™ã‚ˆã€‚銀行サイトã®ã‚¯ãƒƒã‚ーãŒæ¼æ´©
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}