エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
CVE-2022-32224(Railsの脆弱性)を試す - knqyf263's blog
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
CVE-2022-32224(Railsの脆弱性)を試す - knqyf263's blog
前回の記事は割と濃い味付けでしたが、今回は薄味です。 脆弱性自体は簡単なやつなのですが、調べている... 前回の記事は割と濃い味付けでしたが、今回は薄味です。 脆弱性自体は簡単なやつなのですが、調べている過程でRuby 3.1からYAMLのパースが安全になったことを知ったのでその共有がてら書きました。最近はあまりRubyを触る機会がなかったのでリハビリを兼ねて触っているところもあり、間違いがあれば教えて下さい。 要約 背景 RubyのYAML.load Railsのデシリアライゼーションを試す 準備 クラスの復元 任意コード実行 まとめ 要約 Rubyの YAML.load (正確には Psych.load )をユーザ入力など信頼できない値に対して実行するのは危険でした。 Do not use YAML to load untrusted data. Doing so is unsafe and could allow malicious input to execute arbitrary