1
我記得我在紐約參加過的一些聚會上,貝爾實驗室的人們正試圖在網絡上用R來解決潛在的安全問題。如果R會話保持爲用戶活動狀態,則代碼注入Web應用程序可能存在風險。正在使用RinRuby安全的網絡解決方案?
現在,這是在HTML 5和PHP的上下文中展示的,但是我沒有看到使用RinRuby創業板的RoR會有什麼不同。我們應該遵循一套規則來避免使用此gem時的常見安全隱患?
A
回答
1
R一般來說並不是考慮到安全性而構建的(另請參閱jeroen Ooms在arXiv上的preprint)。它也是臭名昭着的flaky parsing of numbers。
從源代碼來看(這是not updated for 2 years()!)RinRuby似乎不提供任何形式的隔離,從注射或者 - 裸機eval是通往地獄,他們說:)
因此,它落在你的肩膀上,以遵循例如OWASP guidelines通過仔細驗證,參數化和白名單輸入來避免注入。考慮到解析數字時出現的上述怪癖,您必須將輸入限制爲合理的時間間隔。
只是我的2美分...
+1
謝謝@DeerHunter。我打印了一份Ooms的論文。這幾乎是我正在尋找的信息。我發現爲Web安全部署R解決方案可能是一個巨大的痛苦,所以我只會使用Ruby來達到這個目的。 – JAponte
相關問題
- 1. Java網絡安全解決方案
- 2. 尋找網絡形式的打包.Net安全解決方案
- 3. wso2 soa安全網關解決方案
- 4. 我的緩存解決方案解決方案是否安全?
- 5. 方法的網絡解決方案
- 6. 如何使用神經網絡來解決「軟」解決方案?
- 7. 最大宏的安全解決方案?
- 8. 網絡P2P視頻confrence解決方案
- 9. 網絡攝像頭解決方案
- 10. Python網絡抓取解決方案
- 11. 移動安全解決方案
- 12. 如何編譯使用不安全代碼的解決方案?
- 13. 如何解決與網絡解決方案SSL代理錯誤
- 14. 解決簡化生成真正的解決方案並全面解決簡化複雜的解決方案?
- 15. 使用.htaccess和網絡解決方案隱藏擴展
- 16. 用於全屏視頻的跨瀏覽器移動網絡解決方案
- 17. 網站創建者的網絡分析解決方案
- 18. MVP/MVC中的用戶確認以及網絡解決方案
- 19. 正在建設中的網絡安全
- 20. PayPal集成方法/簡單的解決方案與安全返回網址
- 21. 解決方案使用MATLAB
- 22. JSON解析正確的解決方案
- 23. 安裝解決方案Sharepoint在線
- 24. 安全在Delphi和PHP密鑰對加密解決方案?
- 25. 無法在源代碼安全中打開解決方案
- 26. 模擬解決方案的安全警報 - 不安全的執行X509TrustManager
- 27. 靈活的電子商務和社交網絡解決方案
- 28. 網絡解決方案主機上的URL重定向
- 29. 什麼是最快的.net網絡解決方案?
- 30. mod_rewrite爲網絡解決方案上的Codeigniter
安全漏洞通常是一個非常具體的實現細節。您必須查看特定漏洞的確切上下文以瞭解其是否轉化。但是,*任何有外部訪問的系統都可能包含*。 (搜索*應該*揭示哪些漏洞已經影響了所述web框架,如果它們被修補/更正,以及它們如何被緩解。) – user2246674