GitHub遭遇Mass Assignment漏洞攻击

最新推荐文章于 2024-12-26 19:31:49 发布
最新推荐文章于 2024-12-26 19:31:49 发布
阅读量384 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cpongo4/article/details/89086905
GitHub近期遭受RubyonRails中的massassignment漏洞攻击。此漏洞影响基于Ruby的网站,并波及使用ASP.NET MVC等ORM Web框架的站点。开发人员不慎混合使用massassignment与ORM导致敏感数据被篡改。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

GitHub最近遭遇了一场Ruby on Rails漏洞攻击,该漏洞被称为mass assignment。此漏洞被认为不仅影响了大量基于Ruby的网站,还对使用ASP.NET MVC和其他ORM Web框架的网站造成了破坏。

\

Mass assignment用于将表单数据映射为对象,它在单独使用时是一项安全且高效的技术。这与ASP.NET中的数据绑定异曲同工,并且后者在单独使用时也同样很安全。其实,真正的漏洞是由于粗心大意地混用了mass assignment和ORM。

\

考虑这样的场景:数据库包含一张“用户”表,其中混杂了敏感和非敏感数据,例如可能有些列代表用户显示姓名、电子邮件地址以及是否为管理员。开发人员希望创建一个页面修改显示姓名及电子邮件地址。为了达到这个目的,他们使用Rails或MVC脚手架自动生成了域对象,或许还有view本身。接下去,他们将用户无法编辑的字段,如“是否为管理员”复选框从view中移除。

\

如果开发人员忘记将IsAdministrator属性从域对象中移除,那么一个安全漏洞便就此产生。如果他们没有进行移除,那么mass assignment或数据绑定器可能会陷入某种圈套,它们会在合法改动中更新不该修改的属性。接下去,当记录保存时,ORM库会悄无声息地存储新值。

\

有三种靠谱的方案可以解决该问题:

\
  • 标记不可被更新的属性,让mass assignment/数据绑定器将其忽略;\
  • 彻底清除业务对象中实际不需要的属性;\
  • 创建模型专门接受更新请求,并手工将它们映射到ORM对象或存储过程调用。\

应当指出,这并不是一个新的漏洞。我们可以很容易地找出4、5年前关于mass assignment的警告,例如标题为“Mass Assignment,黑客们的最爱”以及“不想被黑就使用attr_protected”的文章。这次唯一不同的是受害站点知名度较高。

\

查看英文原文:http://www.infoq.com/news/2012/03/GitHub-Compromised

PHP批量赋值(Mass Assignment)是什么?使用示例和解释
WkpzScratch的博客
10-03 226
为了避免这些问题,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。在PHP开发中,批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对快速赋值给一个对象的属性。总结起来,PHP批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对赋值给对象的属性。然而,为了确保安全性,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。上述代码虽然实现了数据的赋值,但是仍然需要手动将数组中的每个键值对分别赋值给对象的属性。
2 [GitHub遭遇严重供应链投毒攻击]
最新发布
vbnetcx的博客
02-02 3万+
近日,有黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击,此次攻击导致账户密码、凭证和其他敏感信息被盗,同时也影响到了大量开发人员。Checkmarx 在一份技术报告中提到,黑客在这次攻击中使用了多种TTP,其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像,以及向PyPI注册表发布恶意软件包等。Checkmarx 指出,黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。
Mass Assignment 防止Hacked
weixin_33835690的博客
11-27 204
涉及到一个安全问题,可能有人会利用这个问题进行Hack,加以注意可以避免。 官方说明地址:http://guides.rubyonrails.org/security.html#mass-assignment Railscasts-china视频地址:http://railscasts-china.com/episodes/mass-assignment?autoplay=true由Terr...
大量赋值(Mass assignment)
qq_30683393的博客
05-12 1775
Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去: def create # 假设表单送出 params[:user] 参数是 # {:name => “ihover”, :emai...
026 ***喜欢mass assignment
weixin_34407348的博客
02-19 159
Hackers Love Mass Assignment Your site may be at risk! When using mass assignment, you are giving the user complete control over that model and its associations. See how a hacker might u...
Mass assignment 漏洞
kezhen的专栏
06-07 6316
1、http://blog.mhartl.com/2008/09/21/mass-assignment-in-rails-applications/ This is a brief review of mass assignment in Rails. See the follow-up post on Finding and fixing mass assignment probl
美国积极利用EPMM漏洞;TensorFlow易受投毒攻击;伊朗黑客伪装刺探;GitHub在暴露高危漏洞| 安全周报 0119
weixin_55163056的博客
01-19 1580
美国积极利用EPMM漏洞;TensorFlow易受投毒攻击;伊朗黑客伪装刺探;GitHub在暴露高危漏洞
assignment1-GuyShimony:GitHub Classroom创建的assignment1-GuyShimony
04-02
GitHub Classroom创建的assignment1-GuyShimony 全名:Guy Shimony ID:312127467 用户名:GuyShimony github.io链接: ://web-development-environments-2021.github.io/assignment1-GuyShimony/
assignment1-Guyzaidman:GitHub Classroom创建的assignment1-Guyzaidman
03-30
任务1-Guyzaidman 由GitHub Classroom创建的assignment1-Guyzaidman。 github用户名 盖扎德曼 ID 312252919 github.io链接 该站点是使用构建的。
assignment1-ShaharShc:GitHub Classroom创建的assignment1-ShaharShc
04-03
任务1-ShaharShc GitHub Classroom创建的assignment1-ShaharShc 全名:Shahar Shcheranski ID(标识号):313326985 链接到网站: :
4.7.20-测试 Mass Assignment
qq_44232452的博客
10-19 215
【代码】4.7.20-Testing_for_Mass_Assignment
解决高风险代码:Mass Assignment: Insecure Binder Configuration
qq_45752401的博客
12-13 4494
用于 JSON 和 XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
Web安全 - API 成批分配漏洞的四种修复方案
小工匠
12-26 4247
批量分配漏洞Mass Assignment)通常发生在后端代码使用自动数据绑定框架(如 Java 的 SpringMVC 或其他 ORM 工具)时,没有对用户输入数据进行严格验证和过滤。前端用户可以通过提交额外的参数(如权限字段、敏感标志字段)绕过后端验证,将这些敏感字段意外绑定到对象中并持久化。
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 3702
Fortify代码扫描奇安信代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
使用springboot+mybatis拦截器实现身份证等生产敏感数据的加解密
TanzJ的博客
01-25 7028
在实际生产项目中,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。本文将介绍使用springboot+mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。 目录 一、什么是Mybatis Plugin 二、实现基于注解的敏...
Fortify代码扫描:Mass Assignment:Insecure Binder Configuration漏洞解决方案
初阶农民工的博客
12-31 1万+
引发该漏洞一般是Controller中把对象作为参数 解决方案: 在Controller类中添加以下代码: @InitBinder() public void initBinder(WebDataBinder binder) { binder.setDisallowedFields(new String[]{}); } 参考: https://s...
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 5055
Fortify和checkmarx工作中的问题
API安全学习 - crAPI漏洞靶场与API测试思路
好好睡觉
09-07 4125
crAPI靶场教程、API安全
GitHub Classroom Assignment-2-vladbuzan软件设计评估
资源摘要信息:"assignment-2-vladbuzan: GitHub Classroom 创建的 Assignment-2-vladbuzan" 在本节内容中,我们将详细探讨与标题“assignment-2-vladbuzan: GitHub Classroom创建的Assignment-2-vladbuzan”相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值