Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性があります。 検証 Ruby on Rails3.2.9の環境を用意して、以下の2つのモデルを用意しました。 $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserは個人情報を保持しており、自分自身の情報のみが閲覧できるという想定です。モデルBookは書誌データベースであ
![Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/6a5ce6501546e3199606047662d4b879e59e1949/height=288;version=1;width=512/https%3A%2F%2F2.bp.blogspot.com%2F-fq0p949QnkM%2FUOVvSONR_eI%2FAAAAAAAADpQ%2FRcWmUINSoFk%2Fw1200-h630-p-k-no-nu%2Fror-sqli-001.png)