写点什么

Rails 存在安全问题:数月前发现的漏洞正被利用

  • 2013 年 6 月 01 日
  • 本文字数:545 字

    阅读完需:约 2 分钟

Ruby-On-Rails 网站的用户和管理员发现他们正面临着恶意软件的攻击,该攻击利用了今年 1 月公布的一项 Ruby 安全漏洞。该漏洞一旦被利用,未打补丁的系统会直接从远程计算机上下载特定代码,编译一份 IRC 客户端,然后加入特定频道并等待下一步指令。松懈的安全策略暴露了出来,与此同时,这些攻击也尖锐地提醒了我们迅速部署补丁的重要性。

原始的漏洞是通过 CVE-2013-0156 宣布的,它位于 Ruby on Rails 的参数处理代码中。正如 Aaron Patterson 所指出的

Ruby on Rails 的参数解析代码存在多个问题,致使攻击者可以绕开认证系统,注入任意 SQL,注入并执行任意代码,或是在 Rails 上执行拒绝服务攻击。

在宣布漏洞的同时,Patterson 也描述了如何获取 Rails 的补丁。然而事隔 4 个月之后,很多网站看来还没打上补丁,因此仍然容易受到攻击。很多受影响的用户因为系统被感染而表达了他们的失望。安全博主Jeff Jarmoc详细介绍了漏洞是如何被利用的,他还提供了源代码,用以演示被感染的系统是如何运行并通过IRC 接收指令的。

如果用户想看一下他们的服务器是否容易受到攻击,可以试一下Tinfoil Security 的 Railscheck Code Climate Blog 解释了原始漏洞的工作原理,并为想了解更多细节的人提供了概念验证。

查看英文原文: Derailed: Hackers Exploit Months Old Rails Flaw

2013 年 6 月 01 日 09:401105
用户头像
臧秀涛 略懂技术的运营同学。

发布了 300 篇内容, 共 122.5 次阅读, 收获喜欢 31 次。

关注

评论

发布
暂无评论
发现更多内容

“他”靠这份Alibaba内部数据结构与算法刷题秘籍成功杀进字节

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

教你使用Jupyter可视化查询语句的语法树

华为云开发者联盟

人工智能

KubeEdge边缘计算在顺丰科技工业物联网中的实践

华为云开发者联盟

云计算 云原生 工业物联网 顺丰

Alibaba永远滴神!阿里内部最新Java基础到中高级核心面试手册

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

无意中发现阿里巴巴Java开发手册「2022最新黄山版」竟然发布了

tony带水

Java 编程 程序员 Java工程师 秋招

带派!真心被这份阿里大牛开源的“全彩版图解HTTP手册”折服了

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

阿里内网不传之秘:Java微服务实战笔记,共140个案例手把手教学

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

​Black Hat 2022 聚焦软件供应链安全

SEAL软件供应链安全

网络安全 软件供应链安全

一个基于SpringBoot2+Vue+Redis的企业级聚合支付系统

Java海

Java 程序员面试 大厂技能 秋招 大厂面经

阿里巴巴微服务核心手册:Spring Boot+Spring cloud+Dubbo

tony带水

Java 编程 程序员 Java工程师 秋招

花费半年整理拼多多、饿了么、蚂蚁金服等大厂Java面试题要点汇总集

Java面试突击

Java 开源 程序员 架构 面试

Java精进-20分钟学会mybatis使用

Java-fenn

Java 程序员 程序员、 java client Java core

血赚!一顿小烧烤就从阿里P8手上白嫖到这份内部SpringCloud手册

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

阿里6月面试原题出炉:Spring+SpringMvc+MyBatis(附答案)

tony带水

Java 编程 程序员 Java工程师 秋招

2022年6月互联网公司面试总结(Java岗)

tony带水

Java 编程 程序员 Java工程师 秋招

系统梳理总结JAVA全栈知识点,七面阿里成功斩获P8Offer

tony带水

Java 编程 程序员 Java工程师 秋招

分享一份京东大数据大牛私藏:Kafka核心设计与实践原理

tony带水

Java 编程 程序员 Java工程师 秋招

初识MySQL

Java-fenn

Java MySQL MySQL 数据库 #java Java core

跪了!开源这份在GitHub久经不衰的SpringBoot构建分布式系统手册

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

原地起飞!Alibaba直接给开源了这份TCP/IP协议族竟惹怒一众大佬

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

继SpringCloudAlibaba后阿里又一神作:MySQL应用实战与性能调优

tony带水

Java 编程 程序员 Java工程师 秋招

干货!阿里内网M8级别的“分布式到微服务”解密手册!你学废了嘛

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

浅谈一下 MyBatis 批量插入的 3 种方法!

肥肥技术宅

Java mybatis

爆了!1213页LeetCode算法刷题神册(全彩),GitHub万星仅是开始

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

阿里P8第一批秋招上岸的同学后,我总结了这份Java面试手册

Java技术分享会

Java 程序员 面试 校招 秋招

阿里、字节面试必撸!阿里大牛总结410页Java并发编程手册全彩版

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

从零到一,教你搭建「以文搜图」搜索服务(一)

Zilliz

人工智能 机器学习 深度学习

源码之前,了无秘密!阿里大牛手记外泄!Nginx被他玩得出神入化

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

神技!阿里P8纯手撸这份685页的微服务分布式系统开发实战手册

Java魔鬼筋肉人

Java 面经 Java工程师 秋招 内推

腾讯T8架构师基于SpringBoot2.x搭建分布式架构

tony带水

Java 编程 程序员 Java工程师 秋招

现在国内最牛逼的 Spring CloudAlibaba全栈操作手册,不接受反驳

tony带水

Java 编程 程序员 Java工程师 秋招

Rails存在安全问题:数月前发现的漏洞正被利用_Ruby on Rails_Jeff Martin_InfoQ精选文章