- серия уязвимостей, которая позволяет атакующему выполнить свой код на сервере, обойти средства аутентификации, осуществить подстановку SQL кода. Уязвимости вызваны рядом ошибок в коде разбора XML параметров в Action Pack. Код разбора параметров в Ruby on Rails позволяет приложениям автоматически приводить значения различных переменных из строкового типа в представление других типов данных. Некоторые из используемых при таких операциях преобразований неприменимы при попытке создания Symbols или при парсинге YAML, и могут быть использованы атакующим для компрометации Rails-приложений (по сути можно организовать выполнение Ruby-кода, заданного в XML блоках с параметром type="yaml"). Для атаки злоумышленнику достаточно отправить специальный POST-запрос к приложению, использующему Rails. Прототип эксплоита для проверки своих систем на уязвимость можно найти здесь . В качестве...
Full article: http://www.opennet.ru/opennews/art.shtml?num=35792
@mprokopov
»
10 Jan '13, 6am
@opennetru
»
09 Jan '13, 2pm
@mactep_Black
»
09 Jan '13, 6pm
@news_jsonpart
»
09 Jan '13, 4pm
Среди известных сайтов, которые работают на Ruby on Rails — Github, Yammer, Scribd, Groupon, Shopify и Basecamp. На Ruby н...
* Не менее 2 лет опыта работы над веб-приложениями на любом объектно-ориентированном языке - PHP, Python, Java, Perl * Зна...
