Ruby on Railsの脆弱性(CVE-2013-0156)を狙った攻撃を観測
脆弱性の公表と攻撃の開始 数日前に公表されたRuby on Railsの脆弱性(CVE-2013-0156)は、リモートからの任意のコード実行が可能なインパクトの大きいものでした。PoCコードがgithubなどにすぐに出回ったため、私たちのSaaS型WAFサービス、Scutum(スキュータム)では大急ぎでシグネチャの作成や検知エンジンの開発を行いました。 以前、PHPをCGIモードで実行している環境について脆弱性が発見されたときには、発表からわずか数日後に実際にExploitコードによる攻撃を観測しました。そのため、今回も同じように、すぐに実際の攻撃が来るだろうと予想していました。 まず2つのリクエストを観測 予想通り、本日まず2つのリクエストを観測しました。以下のようなものです。(Hostフィールドは伏せ字にしてあります。ウェブサーバのIPアドレスが直接指定されていました。) POST
Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記
Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性があります。 検証 Ruby on Rails3.2.9の環境を用意して、以下の2つのモデルを用意しました。 $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserは個人情報を保持しており、自分自身の情報のみが閲覧できるという想定です。モデルBookは書誌データベースであ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
