__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
週刊Railsウォッチ(20200622前編)AR attributes周りの高速化進む、Active RecordでUNIONクエリを書く、Cable Ready gemほか|TechRacho by BPS株式会社
2020.06.22 週刊Railsウォッチ(20200622前編)AR attributes周りの高速化進む、Active RecordでUNIONクエリを書く、Cable Ready gemほか こんにちは、hachi8833です。GitHub Marketplaceの無料カテゴリを覗いてみたらいろいろありすぎてまごつきました。 "free": GitHub Marketplace · Tools to improve your workflow つっつきボイス:「GitHub Marketplaceをちゃんと見たのは初めてでした」「GitHubリポジトリと連携できるアプリとかアクションとかですね👀」「IDEまであるのね」「エコシステムがあるのはありがたい🙏」「人気も表示して欲しいかなとちょっと思いました」「人気の指標次第では殴り合いが始まりそうですけど😆」「Chrome拡張みた
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: An Introduction to Devise for Ruby on Rails | AppSignal Blog 原文公開日: 2023/07/12 原著者: Aestimo Kirina | AppSignal Blog 日本語タイトルは内容に即したものにしました。 Devise gemは、Rubyの世界で広く用いられているgemの1つで、GitHubの★が20,000個を超え、多くの統合も行われています。今になってDeviseをRubyの「隠れた」gemと呼ぶ理由は何なのでしょうか?実は、Deviseの人気は非常に高いにもかかわらず、多くの開発者がこのライブラリの機能を十分に活用していないからです。 2部構成の本シリーズでは、Deviseを深く掘り下げていきます。 このパート1記事では、以下を含む基礎をある程度学びます
これなに? Ruby on Rails 製 Webアプリケーションのセキュリティテストをするためのガイドです。本ガイドは脆弱なRailsアプリである RailsGoat を題材にセキュリティテストの手法を解説します。 本記事ではソースコードをレビューして脆弱性を発見する手法である 静的アプリケーションセキュリティテスト(SAST) を扱います。 関連記事 【Rails】コードレビューで脆弱性を発見しよう!セキュリティコードレビューのルール10選 Railsアプリケーションのセキュリティテストガイド (ソフトウェアコンポジション解析:SCA) 対象読者 Ruby on Rails でプロダクト開発している組織のセキュリティチームを想定していますが、セキュリティに関心がある開発者やテスターにとっても役立つしれません。 前提知識・スキル 情報セキュリティに関する基本的な用語を知ってること 基本的
6.x Eloquent:利用の開始 Laravel
イントロダクションIntroduction Eloquent ORMはLaravelに含まれている、美しくシンプルなアクティブレコードによるデーター操作の実装です。それぞれのデータベーステーブルは関連する「モデル」と結びついています。モデルによりテーブル中のデータをクエリできますし、さらに新しいレコードを追加することもできます。The Eloquent ORM included with Laravel provides a beautiful, simple ActiveRecord implementation for working with your database. Each database table has a corresponding "Model" which is used to interact with that table. Models allow you
8.x Eloquentの準備 Laravel
イントロダクションIntroduction Laravelには、データベースとの対話を楽しくするオブジェクトリレーショナルマッパー(ORM)であるEloquentが含まれています。Eloquentを使用する場合、各データベーステーブルには対応する「モデル」があり、そのテーブルとの対話に使用します。Eloquentモデルでは、データベーステーブルからレコードを取得するだけでなく、テーブルへのレコード挿入、更新、削除も可能です。Laravel includes Eloquent, an object-relational mapper (ORM) that makes it enjoyable to interact with your database. When using Eloquent, each database table has a corresponding "Model"
Strong Parametersとは trong Parametersは、コントローラ内で使用されるパラメータを安全に扱うための機能です。 この機能は、アプリケーションに対するユーザーのリクエストからのパラメータ(※1)が、指定された許可リストに従ってフィルタリングされることを保証します。つまり、開発者が許可したフィールドのみがMass Assignment(※2)できるようになり、意図しないフィールドへの不正な代入を防ぎます。 (※1)パラメータは、関数やメソッド、プロシージャに渡される変数のことを指します。 (※2)Mass Assignmentは、Ruby on RailsなどのWebフレームワークで使われる機能の一つで、一度に複数のモデルの属性を設定できる機能を指します。 なぜ、Strong Parametersが必要なのか? Strong Parametersがなければ、悪意の
Dependabot multi-directory configuration public beta now available
Dependabot multi-directory configuration public beta now available advanced-securitydependabotsecuritysecurity-and-compliance April 29, 2024 This public beta enables developers to use a directories key to list multiple directories for the same ecosystem configuration in the dependabot.yml file. Previously, developers with multiple package manifests for the same ecosystem (e.g. npm, pip, gradle) ac
APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user. Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementa
7.x Eloquent:利用の開始 Laravel
イントロダクションIntroduction Eloquent ORMはLaravelに含まれている、美しくシンプルなアクティブレコードによるデーター操作の実装です。それぞれのデータベーステーブルは関連する「モデル」と結びついています。モデルによりテーブル中のデータをクエリできますし、さらに新しいレコードを追加することもできます。The Eloquent ORM included with Laravel provides a beautiful, simple ActiveRecord implementation for working with your database. Each database table has a corresponding "Model" which is used to interact with that table. Models allow you
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Rails: Deviseを徹底理解する(1)基礎編(翻訳)|TechRacho by BPS株式会社
Railsアプリケーションのセキュリティテストガイド (静的テスト:SAST) - Qiita
(rails)Strong Parametersについて - Qiita
OWASP Top 10 API Security Risks – 2023 - OWASP API Security Top 10