Mass Assignment 防止Hacked

最新推荐文章于 2024-12-26 19:31:49 发布
转载 最新推荐文章于 2024-12-26 19:31:49 发布 · 204 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/peterzd/archive/2012/11/27/2791552.html

本文探讨了Rails应用中如何防止批量赋值攻击,介绍了使用白名单和黑名单两种方式来限制敏感字段的更新,并给出了具体的代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

涉及到一个安全问题,可能有人会利用这个问题进行Hack,加以注意可以避免。

官方说明地址:http://guides.rubyonrails.org/security.html#mass-assignment

Railscasts-china视频地址:http://railscasts-china.com/episodes/mass-assignment?autoplay=true 由Terry Tai进行讲解,个人觉得讲得很不错。学习很多。

这篇文章介绍的方法很不错:http://excid3.com/blog/rails-tip-7-mass-assignment-security/。通过白名单 + params[:user].delete :is_admin 的方式来满足admin对 is_admin这个属性的操作

这里涉及到的文件有:

  1. config/application.rb 
    config.active_record.whiltelist_attributes = true 
  2. Model 里的 attr_accessible 与 attr_protected使用 
    # 黑名单
attr_protected :is_admin

# 白名单
attr_accessible :email, :username 
  3. Controller里的 params[:user]使用

问题的产生:

有一个名为User的Model,属性如上所述, 以及相对应的Contorller:UsersContoller。如果把 is_admin属性写在 accessible里,则在填写表单时,在console里把user[email] 改为 user[is_admin],然后填入非0数据,就可以把is_admin的值设置成为 true 。因为在Contoller里我们是这样写的:

File: users_controller.rb

def update    
    if @user.update_attributes(params[:user])
      redirect_to @user, notice: 'User was successfully updated.'
    else
      render action: "edit"
    end
end

 

这样也就会全盘地接受传过来的值,导致把 is_admin的值也被更改。

解决办法

综合视频以及其他一些博客给出的方法,有以下几种:

  1. 黑名单:在Model里,把 is_admin 用 attr_protected进行保护,不被访问到,即黑名单。坏处是不够灵活,会影响到Model的其他的行为 
    class User < ActiveRecord::Base
  attr_protected :is_admin
end 
  2. 白名单:不把is_admin写在attr_accessible里面,这样也不会被访问到 
    class User < ActiveRecord::Base
  attr_accessible :email, :username
end  
  3. 在Controller里,对传入的参数进行过滤选择: params[:user].slice(:email, :username),这时Model里面不要把 is_admin 用attr_accessible 来控制。 
    class UsersController < ApplicationController
  def create    
    @user = User.find(params[id])
    if @user.update_attributes(user_params)
      redirect_to @user, notice: 'User was successfully updated.'
    else
      render action: "new"
    end
  end

  private
  def user_params
    params[:user].slice(:email, :username)
  end

end

     通过加入一个 user_params 方法,来对传入的参数进行筛选,把 is_admin 排除在外。这种做法好处在于可以灵活定制,但会Repeat Yourself。 

     

    总体来说,个人觉得还是在Controller里进行一个安全过滤比较靠谱。

    关于白名单:在 config/application.rb 里有一行内容为“config.active_record.whiltelist_attributes = true ”,就是说明,在每一个Model里都要显式地声明一个 attr_accessible,否则会出错。如果不想使用这功能,可以把true 设置为 false

转载于:https://www.cnblogs.com/peterzd/archive/2012/11/27/2791552.html

PHP批量赋值(Mass Assignment)是什么?使用示例和解释
WkpzScratch的博客
10-03 227
为了避免这些问题,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。在PHP开发中,批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对快速赋值给一个对象的属性。总结起来,PHP批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对赋值给对象的属性。然而,为了确保安全性,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。上述代码虽然实现了数据的赋值,但是仍然需要手动将数组中的每个键值对分别赋值给对象的属性。
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
大量赋值(Mass assignment)
qq_30683393的博客
05-12 1776
Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去: def create # 假设表单送出 params[:user] 参数是 # {:name => “ihover”, :emai...
GitHub遭遇Mass Assignment漏洞攻击
cpongo5
03-19 384
GitHub最近遭遇了一场Ruby on Rails漏洞攻击,该漏洞被称为mass assignment。此漏洞被认为不仅影响了大量基于Ruby的网站,还对使用ASP.NET MVC和其他ORM Web框架的网站造成了破坏。\Mass assignment用于将表单数据映射为对象,它在单独使用时是一项安全且高效的技术。这与ASP.NET中的数据绑定异曲同工,并且后者在单独使用时也同样很安全。其实,...
026 ***喜欢mass assignment
weixin_34407348的博客
02-19 160
Hackers Love Mass Assignment Your site may be at risk! When using mass assignment, you are giving the user complete control over that model and its associations. See how a hacker might u...
4.7.20-测试 Mass Assignment
qq_44232452的博客
10-19 215
【代码】4.7.20-Testing_for_Mass_Assignment
Laravel中批量赋值Mass-Assignment的真正含义详解
10-19
Laravel作为在国内国外都颇为流行的PHP框架,风格优雅,其拥有自己的一些特点,下面这篇文章主要给大家介绍了关于Laravel中批量赋值Mass-Assignment的真正含义,需要的朋友可以参考借鉴,下面随着小编来一起学习学习...
mass-assignment-online-web-sp-000
03-19
批量分配 目标 使用关键字参数定义一个初始化方法。 使用批量分配对初始化方法进行元编程。 指示 创建一个Person类,该类在初始化时接受哈希。哈希键应符合以下属性: 允许的属性: :name , :birthday , :hair_...
ruby-metaprogramming-mass-assignment-lab-seattle-web-career-040119
02-22
批量分配 目标 使用关键字参数定义一个初始化方法。 使用质量分配对初始化方法进行元编程。 指示 创建一个Person类,该类在初始化时接受哈希。 哈希键应符合以下属性: 允许的属性: :name , :birthday , :hair_...
Assignment 5_matlab_assignment_
10-01
在本篇中,我们将深入探讨MATLAB编程语言及其在完成作业任务中的应用,特别是针对"Assignment 5_matlab_assignment_"这个项目。MATLAB(Matrix Laboratory)是一种强大的数值计算和数据分析软件,广泛应用于科学计算...
解决高风险代码:Mass Assignment: Insecure Binder Configuration
qq_45752401的博客
12-13 4494
用于 JSON 和 XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
Mass assignment 漏洞
kezhen的专栏
06-07 6316
1、http://blog.mhartl.com/2008/09/21/mass-assignment-in-rails-applications/ This is a brief review of mass assignment in Rails. See the follow-up post on Finding and fixing mass assignment probl
Web安全 - API 成批分配漏洞的四种修复方案
最新发布
小工匠
12-26 4249
批量分配漏洞(Mass Assignment)通常发生在后端代码使用自动数据绑定框架(如 Java 的 SpringMVC 或其他 ORM 工具)时,没有对用户输入数据进行严格验证和过滤。前端用户可以通过提交额外的参数(如权限字段、敏感标志字段)绕过后端验证,将这些敏感字段意外绑定到对象中并持久化。
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
使用模型::create()出现MassAssignmentException in Model.php的问题
fishermanmax的博客
08-27 1386
注意定义的$fillable集合是否与create里面的集合字段一致!!
bug解决-内核C库写保护(FORTIFY: write: prevented read past end of buffer)
armwind的专栏
09-28 8727
备注:展讯平台1、问题描述  昨天同事问我一个问题,报的是一个native crash问题,问题log如下所示: 01-05 00:01:12.600 2794 6237 F libc : Fatal signal 6 (SIGABRT), code -6 in tid 6237 (Binder:2794_2) 01-05 00:01:12.601 189 189 W
清除浮动
初阶农民工的博客
05-17 1680
浮动的目的:把多个盒子放在一行上清除浮动的目的:解决父盒子高度为0的问题清除浮动,也称闭合浮动注:本文不兼容IE6原代码:&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="utf-8"&gt; &lt;title&gt;清除浮动&lt;/title&gt; &lt;style type=&am
新手!mass 设置问题
weixin_34184158的博客
12-16 333
mass就是你那个物体的质量啊质量越大,惯性也越大重力也越大。假如你的刚体的mass为1,那么你只要给这个物体9.81N向上的力,你就可以抵消重力,让这个物体悬浮着;但假如这个物体的mass为10,你就得施加一股为98.1N的力才能阻止它掉落。   Rigidbody 属性 Mass 质量,单位为Kg,建议不要让对象之间的质量差达到100倍以上 Drag 空气阻力,为0表示没有阻力,in...
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4546
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
如何防止Mass Assignment漏洞?
11-14
防止Mass Assignment漏洞,也就是防止未经授权的数据注入,有几种常见的方法在Spring Boot中实施: 1. **使用`@RestControllerAdvice`和`@ModelAttribute`**:通过创建一个全局的`@RestControllerAdvice`,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值