安科网

Ruby on Rails不安全查询生成漏洞

lettleredhat

lettleredhat

2013-01-11

关注 关注

发布日期:2013-01-09
更新日期:2013-01-11

受影响系统:
Ruby on Rails Ruby on Rails 3.x
 Ruby on Rails Ruby on Rails 2.3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57192
 CVE(CAN) ID: CVE-2013-0155
 
Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。
 
Ruby on Rails结合JSON参数解析使用Active Record解释参数时,攻击者可以发送带有"IS NULL"的意外数据库查询或清空where语句。
 
<*来源:Aaron Patterson
 
  链接:http://secunia.com/advisories/51753/
        https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/t1WFuuQyavI
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Ruby on Rails
 -------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://www.rubyonrails.com/

rails 编程语言 ruby

lettleredhat

lettleredhat

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

ubuntu 16.04 i386 安装 ruby + bundler + rails ; 搭建简单的网站bitbar

sudo apt-get install git-core zlib1g-dev build-essential libssl-dev libreadline-dev libyaml-dev libsqlite3-dev sqlite3 libxml2-d

何志文 2020-05-11

Redmine4.x安装及使用心得分享

Redmine是基于ruby语言的开源版的 jira +?Confluence,主要适用于中小团队。目前因内部需要做问题跟踪,新装了一套,这里记录下安装步骤。关于是否使用官方推荐的第三方一键部署:个人不建议使用,一键部署无法自定义目录规划,且一键安装的程序

JOO 2020-04-26

Ruby on Rails事物嵌套具体方法应用解析

上面的代码即实现了rails中的transaction,可见ActiveRecord是不支持Ruby on Rails事物嵌套的。如果模型使用的是相同的数据库, 那么用 ModelA.transaction 或 ModelB.transaction的作用是

龙浩然 2014-06-03

Ubuntu下构建Ruby平台

以下进行的都是在Ubuntu环境中!1 安装RadRails IDE,需要java支持,请先安装好jdk,这里就不罗嗦了。-Comment=Integrated development environment for the Ruby on Rails f

yohunl 2008-01-11

Ruby On Rails with Ajax

Ajax 即 Asynchronous JavaScript XML,重新定义了基本的浏览器使用模型。原模型一次呈现一个页面。Ajax 允许浏览器在页面更新的间隔同服务器进行交流。这样做的好处是带来更加丰富的客户体验。Ajax 是这样运行的:使用 Java

wujiajax 2011-07-22

一个使用Ruby on Rails开发LBS网站的简单实例

但是对于我这个RoR的初学者来说,毕竟太复杂了。因此本文试图简化原来的设计思路,抛弃一切权限管理,仅仅对数据表中的坐标位置进行插入和更新。也就是,使用表单提交用户坐标位置信息,地图页面定时刷新获取这些信息并显示在地图上。通过这个例子,来熟悉RoR的编程,熟

samllQ的备忘录 2011-07-22

专攻难题:Rails、MVC及最常用的Rails命令

在使用Ruby编写web应用程序时,创始人David HeinemeierHansson说,他只不过是将以往应用程序的通用部分复制粘贴到新程序中。使用Rails可以专注解决困难部分,消减重复性工作。Rails命令十分神奇,但我们必须了解每个命令的功能和编写

wl00 2020-10-28

Rails 使用云片和 China sms 发送验证信息

rails 6,云片,china_sms,需要实现短信验证和语音验证。gem ‘china_sms‘, github: ‘saberma/china_sms‘, branch: ‘master‘。我们需要个模型来存储验证码、手机号、验证次数等等信息,模型如

EricNet 2020-07-05

Rails 返回 json

在写代码过程中,经常用到 ajax,那么我们也可能会返回 json 数据:。# 刷新通过 ajax 调用方法的当前页面

mrice00 2020-07-05

Ruby on Rails 单元测试

软件开发中,一个重要的环节就是编写测试文件,对代码进行单元测试,确保程序各部分功能执行正确。但是,这一环节很容易被我们轻视,认为进行单元测试的必要性不大,最主要的一个原因是需要耗费大量时间。显然,这种观点是很浅显的,Michael Hartl 在他的《Ru

EricNet 2020-05-27

centos7安装gitlab

安装 yum install -y curl policycoreutils openssh-server openssh-clients postfix systemctl start postfix. gitlab_rails[‘smtp_passwo

happyfreeangel 2020-04-09

Docker-compose部署gitlab中文版

安装 docker并设置加速器。#添加软件源信息。#如果上步操作报错,内容如下:。#开启并查看Docker服务。#重置docker后台进程并重启docker服务。#下载Docker-compose二进制文件。#创建 gitlab 的 docker-comp

Poisedflw 2020-03-23

Docker部署GitLab

自行搜索如何安装docker,尽量按照较新版本的docker. # 打开挂载的配置目录。# 添加外部请求的域名。# 修改gitlab对应的时区。--publish 暴露了容器的三个端口, 分别是https对应的443, http对应80以及ssh对应的22

yangliuhbhd 2020-03-06

rails devise gem使用

最近一直在学习rails,学习了有大约一个月的时间了,前段时间看GEM的使用教程总是很费劲,最近自己静下心来,专心学习了一下GEM的使用,下面就介绍一下devise这个gem的使用。

Ben的程序员生涯 2013-06-01

rails常用命令

数据库迁移部分:。rake db:create 依照目前的 RAILS_ENV 環境建立資料庫。rake db:rollback STEP=n 回復上N個 Migration 動作。rake db:migrate:up VERSION=2008090612

chenshuixian 2013-06-01

upload file with carrierwave in rails

1.gem carrierwave

AllenYoung 2014-07-04

Rails 4.1.1问题记录

execjs跟Win8有点兼容性的问题。execjs 现在默认使用Windows自带的CScript,但是Win8下CScript 默认接受js编码是UTF-8, 而之前的CScript接受的是ASCII/GBK, 或者用//U参数后接受UTF-8,解决方

wes0 2014-05-31

gitlab配置邮箱服务

当需要进行 账号注册,创建项目,或合并分支等操作时,可通过邮件通知、邮件验证的方式实现。gitlab_rails['gitlab_email_from'] = '发件箱名.163.com'. DOCTYPE html PUBLIC "-//W3C

mrice00 2019-12-20

Gitlab(Docker)中批量添加用户及邮件配置

gitlab页面可以添加用户,但是无法批量添加。在User Setting--Access Tokens中添加token:. 由于gitlab的容器镜像未安装sendmail,所以需要安装后才能发送邮件Dockerfile如下:。gitlab_rails[

EricNet 2019-12-11

RubyMine 2019汉化版 JetBrains集成开发工具2019.3.1 MacOS

JetBrAIns RubyMine 2019 for Mac能更好地理解和导航项目和RAIls的代码库,并且改进编辑和Code Insight功能,主要包括定义,查找用法,代码完成,以及其他操作的准确性和速度。得益于对Ruby和RAIls,JavaScr

89304896 2019-12-08
lettleredhat

lettleredhat

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号