Mass Assignment 防止Hacked

最新推荐文章于 2024-12-26 19:31:49 发布
转载 最新推荐文章于 2024-12-26 19:31:49 发布 · 204 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/peterzd/archive/2012/11/27/2791552.html

本文探讨了Rails应用中如何防止批量赋值攻击,介绍了使用白名单和黑名单两种方式来限制敏感字段的更新,并给出了具体的代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

涉及到一个安全问题,可能有人会利用这个问题进行Hack,加以注意可以避免。

官方说明地址:http://guides.rubyonrails.org/security.html#mass-assignment

Railscasts-china视频地址:http://railscasts-china.com/episodes/mass-assignment?autoplay=true 由Terry Tai进行讲解,个人觉得讲得很不错。学习很多。

这篇文章介绍的方法很不错:http://excid3.com/blog/rails-tip-7-mass-assignment-security/。通过白名单 + params[:user].delete :is_admin 的方式来满足admin对 is_admin这个属性的操作

这里涉及到的文件有:

  1. config/application.rb 
    config.active_record.whiltelist_attributes = true 
  2. Model 里的 attr_accessible 与 attr_protected使用 
    # 黑名单
attr_protected :is_admin

# 白名单
attr_accessible :email, :username 
  3. Controller里的 params[:user]使用

问题的产生:

有一个名为User的Model,属性如上所述, 以及相对应的Contorller:UsersContoller。如果把 is_admin属性写在 accessible里,则在填写表单时,在console里把user[email] 改为 user[is_admin],然后填入非0数据,就可以把is_admin的值设置成为 true 。因为在Contoller里我们是这样写的:

File: users_controller.rb

def update    
    if @user.update_attributes(params[:user])
      redirect_to @user, notice: 'User was successfully updated.'
    else
      render action: "edit"
    end
end

 

这样也就会全盘地接受传过来的值,导致把 is_admin的值也被更改。

解决办法

综合视频以及其他一些博客给出的方法,有以下几种:

  1. 黑名单:在Model里,把 is_admin 用 attr_protected进行保护,不被访问到,即黑名单。坏处是不够灵活,会影响到Model的其他的行为 
    class User < ActiveRecord::Base
  attr_protected :is_admin
end 
  2. 白名单:不把is_admin写在attr_accessible里面,这样也不会被访问到 
    class User < ActiveRecord::Base
  attr_accessible :email, :username
end  
  3. 在Controller里,对传入的参数进行过滤选择: params[:user].slice(:email, :username),这时Model里面不要把 is_admin 用attr_accessible 来控制。 
    class UsersController < ApplicationController
  def create    
    @user = User.find(params[id])
    if @user.update_attributes(user_params)
      redirect_to @user, notice: 'User was successfully updated.'
    else
      render action: "new"
    end
  end

  private
  def user_params
    params[:user].slice(:email, :username)
  end

end

     通过加入一个 user_params 方法,来对传入的参数进行筛选,把 is_admin 排除在外。这种做法好处在于可以灵活定制,但会Repeat Yourself。 

     

    总体来说,个人觉得还是在Controller里进行一个安全过滤比较靠谱。

    关于白名单:在 config/application.rb 里有一行内容为“config.active_record.whiltelist_attributes = true ”,就是说明,在每一个Model里都要显式地声明一个 attr_accessible,否则会出错。如果不想使用这功能,可以把true 设置为 false

转载于:https://www.cnblogs.com/peterzd/archive/2012/11/27/2791552.html

PHP批量赋值(Mass Assignment)是什么?使用示例和解释
WkpzScratch的博客
10-03 226
为了避免这些问题,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。在PHP开发中,批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对快速赋值给一个对象的属性。总结起来,PHP批量赋值(Mass Assignment)是一种常见的编程模式,用于将一个数组中的键值对赋值给对象的属性。然而,为了确保安全性,我们需要进行数据验证和过滤,只将合法的数据赋值给对象的属性。上述代码虽然实现了数据的赋值,但是仍然需要手动将数组中的每个键值对分别赋值给对象的属性。
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
大量赋值(Mass assignment)
qq_30683393的博客
05-12 1775
Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去: def create # 假设表单送出 params[:user] 参数是 # {:name => “ihover”, :emai...
GitHub遭遇Mass Assignment漏洞攻击
cpongo5
03-19 384
GitHub最近遭遇了一场Ruby on Rails漏洞攻击,该漏洞被称为mass assignment。此漏洞被认为不仅影响了大量基于Ruby的网站,还对使用ASP.NET MVC和其他ORM Web框架的网站造成了破坏。\Mass assignment用于将表单数据映射为对象,它在单独使用时是一项安全且高效的技术。这与ASP.NET中的数据绑定异曲同工,并且后者在单独使用时也同样很安全。其实,...
026 ***喜欢mass assignment
weixin_34407348的博客
02-19 160
Hackers Love Mass Assignment Your site may be at risk! When using mass assignment, you are giving the user complete control over that model and its associations. See how a hacker might u...
4.7.20-测试 Mass Assignment
qq_44232452的博客
10-19 215
【代码】4.7.20-Testing_for_Mass_Assignment
Laravel中批量赋值Mass-Assignment的真正含义详解
10-19
Laravel作为在国内国外都颇为流行的PHP框架,风格优雅,其拥有自己的一些特点,下面这篇文章主要给大家介绍了关于Laravel中批量赋值Mass-Assignment的真正含义,需要的朋友可以参考借鉴,下面随着小编来一起学习学习...
mass-assignment-online-web-sp-000
03-19
批量分配 目标 使用关键字参数定义一个初始化方法。 使用批量分配对初始化方法进行元编程。 指示 创建一个Person类,该类在初始化时接受哈希。哈希键应符合以下属性: 允许的属性: :name , :birthday , :hair_...
ruby-metaprogramming-mass-assignment-lab-seattle-web-career-040119
02-22
批量分配 目标 使用关键字参数定义一个初始化方法。 使用质量分配对初始化方法进行元编程。 指示 创建一个Person类,该类在初始化时接受哈希。 哈希键应符合以下属性: 允许的属性: :name , :birthday , :hair_...
Assignment 5_matlab_assignment_
10-01
在本篇中,我们将深入探讨MATLAB编程语言及其在完成作业任务中的应用,特别是针对"Assignment 5_matlab_assignment_"这个项目。MATLAB(Matrix Laboratory)是一种强大的数值计算和数据分析软件,广泛应用于科学计算...
解决高风险代码:Mass Assignment: Insecure Binder Configuration
qq_45752401的博客
12-13 4494
用于 JSON 和 XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
Mass assignment 漏洞
kezhen的专栏
06-07 6316
1、http://blog.mhartl.com/2008/09/21/mass-assignment-in-rails-applications/ This is a brief review of mass assignment in Rails. See the follow-up post on Finding and fixing mass assignment probl
Web安全 - API 成批分配漏洞的四种修复方案
最新发布
小工匠
12-26 4248
批量分配漏洞(Mass Assignment)通常发生在后端代码使用自动数据绑定框架(如 Java 的 SpringMVC 或其他 ORM 工具)时,没有对用户输入数据进行严格验证和过滤。前端用户可以通过提交额外的参数(如权限字段、敏感标志字段)绕过后端验证,将这些敏感字段意外绑定到对象中并持久化。
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
OWASP: Insecure Configuration
拾月公子
12-23 1105
OWASP: Insecure Configuration
由Fortify扫描结果而引发的java安全模型分析
一些好玩的东西
01-10 2173
最近公司在搞security audit,项目里的applet被Fortify扫描后报了一个安全隐患,具体信息如下: Abstract: Non-final methods that perform security checks can be overridden in ways that bypass security checks. Explanation: If a method i
如何防止Mass Assignment漏洞?
11-14
防止Mass Assignment漏洞,也就是防止未经授权的数据注入,有几种常见的方法在Spring Boot中实施: 1. **使用`@RestControllerAdvice`和`@ModelAttribute`**:通过创建一个全局的`@RestControllerAdvice`,你可以定义一个方法拦截所有`@ModelAttribute`绑定的请求,并手动验证数据是否来自可信来源。 ```java @RestControllerAdvice public class GlobalExceptionHandler { @InitBinder public void initBinder(WebDataBinder binder) { binder.addValidators(new UniqueValidator<>()); } @ExceptionHandler(MassAssignmentException.class) public ResponseEntity<Error> handleMassAssignment(MassAssignmentException e) { return ResponseEntity.badRequest().body(new Error(e.getMessage())); } } ``` 2. **启用`Thymeleaf`模板引擎的安全模式**:如果你使用Thymeleaf作为视图技术,可以开启其安全模式来避免直接绑定JavaScript表达式中的变量。 3. **控制HTTP头信息**:在生产环境中,你可以设置`X-XSS-Protection`等头部信息,提示客户端不要尝试将请求体中的数据赋值给不可信的属性。 4. **使用`@JsonInclude(JsonInclude.Include.NON_NULL)`**:当序列化模型对象时,仅包含非空字段,防止意外的属性注入。 5. **`@JsonAutoDetect`注解**:在Spring MVC中,可以使用`@JsonAutoDetect(fieldVisibility= JsonAutoDetect.Visibility.ANY)`来控制JSON序列化时可见的字段,隐藏不必要的敏感信息。 6. **启用Spring Security的`WebMvcSecurityConfigurerAdapter`**:在Spring Security配置中,明确指定哪些属性是可以转换成方法参数的,如上述例子所示。 重要的是,始终保持警惕并只允许必需的数据访问,避免直接暴露业务层的敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值