共有
  • 記事へのコメント74

    • 注目コメント
    • 新着コメント
    その他
    オーナーコメントを固定しています
    sora_h
    オーナー sora_h 書きました: github の mass assignment 脆弱性が突かれた件

    2012/03/05 リンク

    その他
    ykameda48
    ykameda48 github の mass assignment 脆弱性が突かれた件 - blog.sorah If new item saved, then send me an email. IFTTT Manage this Applet 45343453: http://email.ifttt.com/wf/click?upn=6tNAOFwxcF8KzWlMrDEXkIEDiqSckzA7sBu1-2B1B9l5GN-2FV2tyzrHXWnRYh7ZwPsmh6lrC1OH7wb9Waldiv-2B2Gg-3D-3D_Gdikd9Jwgq-2BbIviozy

    2016/12/12 リンク

    その他
    bash0C7
    bash0C7 @changeworlds 対策だからでは。

    2015/04/07 リンク

    その他
    akira_nishii01
    akira_nishii01 Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。

    2014/08/19 リンク

    その他
    anconium
    anconium Articleモデルにattr_accessible :category_idみたいな実装してるアプリケーションに対して、HTTPのパラメータにcategory_id: 1をJSで書き込んで、@article.update_attributes params[:id]したら意図しない挙動を達成できるのかな。

    2014/01/16 リンク

    その他
    mabots
    mabots attr_accessible の mass assignment。rails 4 の strong parameter の背景を理解するために

    2013/11/25 リンク

    その他
    speg03
    speg03 わかりやすい

    2013/07/04 リンク

    その他
    masutaka26
    masutaka26 #webcat

    2012/11/21 リンク

    その他
    japanrock
    japanrock 分かりやすい。mass assignment 脆弱性についての議論の結果が気になる。

    2012/03/13 リンク

    その他
    rochefort
    rochefort > account 側の primary key を取得したんだろう? // apiで取得したようです。http://homakov.blogspot.com/2012/03/how-to.html

    2012/03/09 リンク

    その他
    Horiuchi_H
    Horiuchi_H そういえば、githubからメールきてたな。これって、外部パラメータをそのまま使わないって原則に従うように、フレームワークができていないって事が問題かな?

    2012/03/08 リンク

    その他
    unarist
    unarist Railsがmass asignment脆弱性を発生しやすいことのデモにGithubが使われたってこと?

    2012/03/08 リンク

    その他
    vkgtaro
    vkgtaro mass assiginment 脆弱性ってなに? って思ったらなるほど……。既存の project のこと考えると変更は難しいかもしれないけど、これはホワイトリストをデフォルトにしたほうがいいと思う。

    2012/03/08 リンク

    その他
    coji
    coji 「例えば、Railsを避ける」

    2012/03/08 リンク

    その他
    iaskell
    iaskell なんかgithubからメールきたけどこの件?

    2012/03/08 リンク

    その他
    suVene
    suVene 「これだから php は」w

    2012/03/07 リンク

    その他
    masakielastic2
    masakielastic2 3年前に symfony 作者の Fabien さんが PHP コードを使って massive assingment の解説記事を書いていた。http://symfony.com/blog/security-must-be-taken-seriously

    2012/03/06 リンク

    その他
    mumincacao
    mumincacao 毎回指定するのはめんどいけど全部自動で受け付けちゃうときけんがあぶないよ・・・なんだかいろんなとこで聞いたことあるようなおはなしなのです・・・ (ーx【みかん

    2012/03/06 リンク

    その他
    arakash
    arakash Railsの脆弱性

    2012/03/06 リンク

    その他
    ainame
    ainame いいまとめ

    2012/03/06 リンク

    その他
    mrkn
    mrkn この記事の URL を gumroad に登録しろよ。

    2012/03/06 リンク

    その他
    k-holy
    k-holy 実装を理解せず自動生成に頼り切ってるとこういう危険性があるということでしょうか。バリデーションは目的に合わせて全ての層でやった方がいいのかも、と考えてしまいます←フレームワーク全般の話

    2012/03/06 リンク

    その他
    ionis
    ionis scaffoldにあるようなparamsを直接渡したりしてるコード等で作りがちな脆弱性のお話。

    2012/03/06 リンク

    その他
    tmatsuu
    tmatsuu 素晴らしいまとめ。いいね!これだからRailsは…。ブラックリスト方式だと今後も脆弱性作り込んでしまうよね。is_adminとか勝手にtrueにされちゃうよ。それをmodelの構造が悪いと言われるのは酷。

    2012/03/06 リンク

    その他
    gikazigo
    gikazigo github の mass assignment 脆弱性が突かれた件 - http://t.co/Xs29Umod

    2012/03/06 リンク

    その他
    at_yasu
    at_yasu ああ、Railsって過去の脆弱性を沿って実演する(ry) / 「何年も前に指摘されていた脆弱性に今頃慌てふためいている愚かでコンピュータサイエンスを学ぶには無能すぎてRailsくらいしか使えないz.」

    2012/03/06 リンク

    その他
    ebo-c
    ebo-c primary keyであるidまでmass assignmentできるのはどうかしてると思う。これめんどくさがってるのはユーザー入力値じゃなくてobject間の値コピーについてなんだろうなー

    2012/03/05 リンク

    その他
    nrtm
    nrtm なるほど 'github の mass assignment 脆弱性が突かれた件 - http://t.co/aaroOCXj'

    2012/03/05 リンク

    その他
    Lambda_groove
    Lambda_groove これはひどいなー。まあでも、railsなんてオモチャみたいなもんだし、仕方ないよね。

    2012/03/05 リンク

    その他
    harigel
    harigel これだからRailsは…w気をつけましょう。

    2012/03/05 リンク

    その他
    taketyan
    taketyan Validation を Model 自身がやるんじゃなくて, Form コンポーネントが別にあればちゃんと防げそう / Model はよりテーブル定義に近いレベルの Validation だけやる

    2012/03/05 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    github の mass assignment 脆弱性が突かれた件

    Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事