作为一个 Web 开发者,经常要面临各种安全问题( SQL 注入,跨站攻击等)。虽然 Rails 默认帮我们做了很多防护,但是如果新手不了解机制,修改默认等配置,可能会导致比较严重的安全隐患。 我们来一个一个介绍下:
SQL 注入至今都是非常常见的 Web 安全漏洞。主要原理是伪造特殊的输入作为参数传给 Web 应用程序,而这些输入大都是 SQL 中都一些组合,通过执行 SQL 语句进而执行攻击者要进行都操作,主要原因是没有过滤用户输入的数据。
不使用内插的查询,Rails 就自动过滤用户输入的数据。
Rails 默认是做了 XSS 保护的。默认情况下 template 中的所有字符串过滤掉了。比如:
xss_code = "<script>alert('test')</script>"
<%= xss_code %>
上面这个代码是安全的。但是下面这个代码就不安全了。
<%= xss_code.html_safe %>
<%= raw xss_code %>
class ApplicationController < ActionController::Base
protect_from_forgery with: :exception
end
默认的情况下,Rails 就通过 protect_from_forgery 来解决 XSRF 漏洞。
这是一个很常见,也比较容易忽略的问题。 比如说 http://example.com/redirect_to=http://evilwebsite.com 的网站。从一个正常的网站跳转到一个坏的网站,一般到用户都以为是正常的网站,后期如果让用户输入一些账号密码,都是可能导致用户的信息被窃取的。 解决方案如下:
begin
if path = URI.parse(params[:url]).path
redirect_to path
end
rescue URI::InvalidURIError
redirect_to '/'
end
获取PATH部分,确保不跳出自己的站点。
可以通过 Strong Parameters 来设置白名单防止 Mass Assignment 攻击。
这是最常见的攻击方式之一,无限穷举账号密码。这个的解决方案也很简单,Rails 也有比较好的方案。 使用 rack-attack 来保护,当某一个IP短时间大量访问你的网站,就把他加到黑名单中。
不要把 database.yml secrets.yml 放到版本库中,使用 env.yml 来存放。
总结一下几点:
参考资料: https://www.owasp.org/index.php/Ruby_on_Rails_Cheatsheet https://github.com/presidentbeef/brakeman