はてなブックマーク - RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した

RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した

jp.techcrunch.com

タグ : rails SECURITY Ruby セキュリティ twitter XSS ruby on rails セキュリティー text *あとで読む

コンピュータ・IT 79 users

わずか3日前にWebのセキュリティの絶望的な状況、中でもとくにクロスサイトスクリプティング(XSS)攻撃を使う新しいベクターについて書いたばかりだが、今日（米国時間9/3）は開発フレームワークRubyOnRailsにXSSに対する脆弱性が見つかったというニュースが入ってきた。TwitterやBasecampのような、このフレームワークで構築されているアプリケーションも、当然XSSにやられやすいことになる。その脆弱性を見つけたのはBrian Masterbrookだ。彼はTwitterでいくつかのUnic... > このページを見る

最終更新時間: 2009年09月04日21時52分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

W53SA
「ところで今、RubyOnRailsのダウンロードは、ロシアなどからが急激に増えている。その大量の新規ユーザたちは、自分のアプリケーションをこれから作るのはなく、あなたのアプリケーションをこれから乗っ取るのだ。」 2011/09/13
nilab rubyonrails, security, twitter
RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した:Basecampの対応が鈍かった:Twitterはすぐに腰を上げたようだから不満はないが、ご存じのように彼らのセキュリティ履歴はあまりよろしくない 2009/09/15
nihen security
別にDBのせいにしてないだろ。原文はhttp://bit.ly/29bHm4 にあるけど、非永続的な攻撃には使われやすいけどDBが不正なunicodeを受け付けないから永続的な攻撃には繋がらないだろうけど設定によってはあるかもねぐらいの意味 2009/09/12
TAKESAKO twitter, security, xss, rails
http://brian.mastenbrook.net/display/36 2009/09/07
hysa セキュリティ
"ブラックリストではなく、ホワイトリスト（よいもののリスト）を使うこと" 2009/09/07
oooooooo ruby, security
37signal が残念な対応 http://brian.mastenbrook.net/display/36 2009/09/07
rryu セキュリティ
何も対策してなさそうと思っていたらやっぱりそうだったrailsの冗長なUTF-8表現攻撃に対する脆弱性の話。 2009/09/05