Rails每周一题(六):Security Guide(上)
此篇文章总结自:http://guides.rubyonrails.org/security.html 谢谢某同学的提醒。 Web应用存在的安全问题包括账号劫持,绕过访问控制,读取或者修改敏感信息或者显示欺诈内容等。通过security guide系列篇让我们一起来看看应该如何正确使用Rails来克服这些问题。 在上篇中,主要描述对session的攻击,以及应对方法。 首先简 ...
Rails每周一题(七):Security Guide(中)
上篇 中介绍了对session的攻击方法以及应对策略,在此篇继续介绍其它一些对网站的攻击方法以及应对策略。在阅读本文的过程中,你会发现,其实避免很多安全问题并不困难。只是很多时候,我们并没有把安全问题这个概念放在心里。 跨站请求伪造 (CSRF ) 跨站请求伪造在网页上注入恶意代码或者一些恶意链接,来访问用户已被认证的网站。如果session未过期,攻击者就可以进行一些恶意的操作。 ...
Rails每周一题(八):Security Guide(下)
在上篇和中篇中介绍了对session的攻击和其它一些常见攻击。在下篇中着重介绍注入攻击。 注入是通过向网站内引入恶意代码或者一些恶意参数,使这些有害的代码得以在网站的安全环境中运行的攻击方法。最显著的例子是XSS和SQL注入。 SQL注入 用一个简单例子介绍SQL注入。 Project.find(:all, :conditions => "name = '#{pa ...