这是一个创建于 5035 天前的主题,其中的信息可能已经有所发展或是发生改变。
Egor Homakov 这位俄罗斯黑客发现了 Rails 的严重安全漏洞。
他在 http://homakov.blogspot.com/2012/03/egor-stop-hacking-gh.html 这篇文章中声称,由于 Rails 的开发人员忽略他的意见,他决定进行一下试验,拿 Github 开刀。
他已经做到冒充其它用户发 post ,删除其他用的 post ,以及对任意 repository 进行 pull/commit/push 操作。为了证明他的话,他在 Rails 的 Master 里头 commit 了一下,见截图。
他说不仅仅是 Github 。许多 Rails 开发的 app 都存在这个安全问题。
他在 http://homakov.blogspot.com/2012/03/egor-stop-hacking-gh.html 这篇文章中声称,由于 Rails 的开发人员忽略他的意见,他决定进行一下试验,拿 Github 开刀。
他已经做到冒充其它用户发 post ,删除其他用的 post ,以及对任意 repository 进行 pull/commit/push 操作。为了证明他的话,他在 Rails 的 Master 里头 commit 了一下,见截图。
他说不仅仅是 Github 。许多 Rails 开发的 app 都存在这个安全问题。
 | 1 YvetteM 2012-03-05 06:13:14 +08:00 太可怕了 |
 | 2 blacktulip OP 可怜的家伙 github id 被 ban 了,他身上还有个 github logo 的纹身,结果没了账号 :S 于是他一气之下贴出了方法 在 http://homakov.blogspot.com/2012/03/how-to.html 不过据说 github 已经堵上了这个漏洞。 |
 | 3 daqing 2012-03-05 09:13:23 +08:00 这个不是Rails的漏洞,而是开发者的问题:忘记保护user_id字段了。 |
 | 4 run2 2012-03-05 09:19:50 +08:00 怎么感觉是github 在ssh方面的漏洞啊 |
 | 5 huacnlee 2012-03-05 09:22:51 +08:00 这个不是漏洞,而是开发人员在写的时候不够严谨导致: http://huacnlee.com/blog/rails-attr-protected-or-attr-accesible-fields/ |
 | 7 cngithub 2012-03-05 09:33:33 +08:00 真心不是Rails的bug。 这种做法,其实Rails社区最佳实践以前讨论过。 |
 | 8 felinx 2012-03-05 10:11:15 +08:00 注意看这段 Egor Homakov About me Salut, I am Egor Homakov. born on 28 apr. 1993 in Russia. Programming, business, a bit of cooking and dancing, travelling, sometimes straightXedge sometimes vodka-guru. Geek&nerd in the past. Stay tuned, it is gonna be legen... just wait |
 | 9 bhuztez 2012-03-05 10:18:01 +08:00 |
 | 12 ShiningRay 2012-03-05 11:26:25 +08:00 @bhuztez 新手会考虑安全性?你想得太多了 |
 | 13 explon 2012-03-05 11:31:48 +08:00 这人 93 年生的? |
 | 14 ywjno 2012-03-05 11:32:31 +08:00 @bhuztez 新手都是用scaffold来生成controller、model、view的,那时候model都还没保护字段那么一说 |
 | 15 est 2012-03-05 11:50:17 +08:00 |
 | 16 insraq 2012-03-05 11:51:44 +08:00 这是Rails处理Mass assignment的问题,现在的做法让许多新手容易造成漏洞,Homakov曾经在Rails@Github上提出这个问题,但是被关闭了,理由是:保证App的安全,不是Rails的责任,而是开发者的责任。于是Homakov用另外一种方法来告诉Rails即使是Github这种有许多优秀开发员的地方,都无法避免漏洞。当然之后Github的处理方法引来了不少争议,不过后来他们也及时的补救了。 |
 | 17 mywaiting 2012-03-05 12:02:08 +08:00 我总觉得,太偷懒的地方都容易出Bug...... 在向Db写入数据的时候,真心感觉自己有洁癖,没有一项项正则检查过,绝不会直接Model.save() |
| 18 bhuztez 2012-03-05 12:48:54 +08:00 @greenymora github不值得你每个月给他们7美元。 |
| 20 ywjno 2012-03-05 13:39:31 +08:00 对岸rails的牛人xdite在今天的blog中也说了这件事情,可以推荐看看, http://blog.xdite.net/posts/2012/03/05/github-hacked-rails-security/ |
| 21 ShiningRay 2012-03-05 14:29:59 +08:00 @est Worse is better。 想想PHP,我很久没写PHP了,现在不知道情况如何。很多人现在学写PHP还是在用老套的方法,甚至 5.0 时代还有很多人要把 register global 打开。也有相当多的人,他们并不知道使用一套PHP框架,也不会去做防sql注入的工作。如果这些都是PHP的责任的话,那PHP就累死了。 还有比如Rails内置的防CSRF功能,我见过不少人是直接关闭的。 所以,底层框架是弥补不了使用者的偷懒的。 PS: 我隐约记得 C vs C++ 也有很多类似的讨论。 |
| 22 est 2012-03-05 16:15:46 +08:00 |
 | 23 ssword 2012-03-05 17:38:44 +08:00 @est 语言再好,阻止不了人写烂代码。Java的垃圾代码海了去了。有了垃圾收集,防止菜鸟用户轰掉自己腿的保护机制上来,又快又安全的高质量代码就从天上掉下来了? 写的代码不好可以怨语言,但是首先人自身肯定有问题。 |
 | 24 chloerei 2012-03-05 17:56:48 +08:00 Rails Master 分支默认开启属性白名单了 https://github.com/rails/rails/commit/641a4f62405cc2765424320932902ed8076b5d38 github 团队证明了确实单靠开发者自我约束确实是很大风险。[您获得了奖杯:中下水平Rails开发者!] |
 | 25 ccinls 2012-03-06 03:16:05 +08:00 完全是开发者的问题,不是Rails的漏洞~ http://yes2.me/archives/1440 |
Select Language