这是一个创建于 4425 天前的主题,其中的信息可能已经有所发展或是发生改变。
Egor Homakov 这位俄罗斯黑客发现了 Rails 的严重安全漏洞。
他在 http://homakov.blogspot.com/2012/03/egor-stop-hacking-gh.html 这篇文章中声称,由于 Rails 的开发人员忽略他的意见,他决定进行一下试验,拿 Github 开刀。
他已经做到冒充其它用户发 post ,删除其他用户的 post ,以及对任意 repository 进行 pull/commit/push 操作。为了证明他的话,他在 Rails 的 Master 里头 commit 了一下,见截图。
他说不仅仅是 Github 。许多 Rails 开发的 app 都存在这个安全问题。
他在 http://homakov.blogspot.com/2012/03/egor-stop-hacking-gh.html 这篇文章中声称,由于 Rails 的开发人员忽略他的意见,他决定进行一下试验,拿 Github 开刀。
他已经做到冒充其它用户发 post ,删除其他用户的 post ,以及对任意 repository 进行 pull/commit/push 操作。为了证明他的话,他在 Rails 的 Master 里头 commit 了一下,见截图。
他说不仅仅是 Github 。许多 Rails 开发的 app 都存在这个安全问题。
 |
1
YvetteM 2012-03-05 06:13:14 +08:00
太可怕了
|
 |
2
blacktulip OP 可怜的家伙 github id 被 ban 了,他身上还有个 github logo 的纹身,结果没了账号 :S
于是他一气之下贴出了方法 在 http://homakov.blogspot.com/2012/03/how-to.html 不过据说 github 已经堵上了这个漏洞。 |
 |
3
daqing 2012-03-05 09:13:23 +08:00
这个不是Rails的漏洞,而是开发者的问题:忘记保护user_id字段了。
|
 |
4
sobigfish 2012-03-05 09:19:50 +08:00
怎么感觉是github 在ssh方面的漏洞啊
|
 |
5
huacnlee 2012-03-05 09:22:51 +08:00
这个不是漏洞,而是开发人员在写的时候不够严谨导致:
http://huacnlee.com/blog/rails-attr-protected-or-attr-accesible-fields/ |
 |
7
cngithub 2012-03-05 09:33:33 +08:00
真心不是Rails的bug。
这种做法,其实Rails社区最佳实践以前讨论过。 |
 |
8
felinx 2012-03-05 10:11:15 +08:00
注意看这段
Egor Homakov About me Salut, I am Egor Homakov. born on 28 apr. 1993 in Russia. Programming, business, a bit of cooking and dancing, travelling, sometimes straightXedge sometimes vodka-guru. Geek&nerd in the past. Stay tuned, it is gonna be legen... just wait |
 |
9
bhuztez 2012-03-05 10:18:01 +08:00
|
 |
12
ShiningRay 2012-03-05 11:26:25 +08:00
@bhuztez 新手会考虑安全性?你想得太多了
|
 |
13
explon 2012-03-05 11:31:48 +08:00
这人 93 年生的?
|
 |
14
ywjno 2012-03-05 11:32:31 +08:00
@bhuztez 新手都是用scaffold来生成controller、model、view的,那时候model都还没保护字段那么一说
|
 |
15
est 2012-03-05 11:50:17 +08:00
|
 |
16
insraq 2012-03-05 11:51:44 +08:00
这是Rails处理Mass assignment的问题,现在的做法让许多新手容易造成漏洞,Homakov曾经在Rails@Github上提出这个问题,但是被关闭了,理由是:保证App的安全,不是Rails的责任,而是开发者的责任。于是Homakov用另外一种方法来告诉Rails即使是Github这种有许多优秀开发员的地方,都无法避免漏洞。当然之后Github的处理方法引来了不少争议,不过后来他们也及时的补救了。
|
 |
17
mywaiting 2012-03-05 12:02:08 +08:00
我总觉得,太偷懒的地方都容易出Bug......
在向Db写入数据的时候,真心感觉自己有洁癖,没有一项项正则检查过,绝不会直接Model.save() |
|
18
bhuztez 2012-03-05 12:48:54 +08:00
@greenymora github不值得你每个月给他们7美元。
|
|
20
ywjno 2012-03-05 13:39:31 +08:00
对岸rails的牛人xdite在今天的blog中也说了这件事情,可以推荐看看, http://blog.xdite.net/posts/2012/03/05/github-hacked-rails-security/
|
|
21
ShiningRay 2012-03-05 14:29:59 +08:00
@est Worse is better。
想想PHP,我很久没写PHP了,现在不知道情况如何。很多人现在学写PHP还是在用老套的方法,甚至 5.0 时代还有很多人要把 register global 打开。也有相当多的人,他们并不知道使用一套PHP框架,也不会去做防sql注入的工作。如果这些都是PHP的责任的话,那PHP就累死了。 还有比如Rails内置的防CSRF功能,我见过不少人是直接关闭的。 所以,底层框架是弥补不了使用者的偷懒的。 PS: 我隐约记得 C vs C++ 也有很多类似的讨论。 |
|
22
est 2012-03-05 16:15:46 +08:00
|
 |
23
ssword 2012-03-05 17:38:44 +08:00
@est 语言再好,阻止不了人写烂代码。Java的垃圾代码海了去了。有了垃圾收集,防止菜鸟用户轰掉自己腿的保护机制上来,又快又安全的高质量代码就从天上掉下来了?
写的代码不好可以怨语言,但是首先人自身肯定有问题。 |
 |
24
chloerei 2012-03-05 17:56:48 +08:00
Rails Master 分支默认开启属性白名单了
https://github.com/rails/rails/commit/641a4f62405cc2765424320932902ed8076b5d38 github 团队证明了确实单靠开发者自我约束确实是很大风险。[您获得了奖杯:中下水平Rails开发者!] |
 |
25
ccinls 2012-03-06 03:16:05 +08:00
完全是开发者的问题,不是Rails的漏洞~ http://yes2.me/archives/1440
|
Select Language