Основные блоги b.Z » Все блоги » Про интернет » Опасности использования open-uri

Опасности использования open-uri

Все блоги / Про интернет 1 марта 2015 528   
Смотреть в Telegram Поделиться в TG
OpenURI в руби это стандартная библиотека сильно упрощающая работу с URL так как она объеденяет в себе Net:HTTP/HTTPS/FTP и представляет из себя всего лишь метод open. Насколько я знаю это самый популярный способ для скачивания файла, GET запроса или чтения данных.

Но на деле require "open-uri" патчит Kernel.open и вызывает разный код для разных аргументов, что может привести к удаленному выполнению кода или чтению любого файла на сервере!

open(params[:url]) это выполнение кода для url=|ls Все что начинается с | рассматривается как системный вызов.

open(params[:url]) if params[:url] =~ /^http:// не лучше для url=|touch n; http://url.com (сломанные регулярки могут привести к RCE, используйте Az).
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Текстовая трансляция со дня открытых дверей Лаборатории Касперского – Open Day 2017

Всем привет! Сегодня мы ведем текстовую трансляцию со дня открытых дверей Лаборатории Касперского – Open Day 2017. Видео-стрим: Текстовая трансляция под катом. Читать дальше →

подробнее »
2 октября 2017
Качество кода Open Source впервые превзошло качество кода проприетарных проектов на C/C++

Вчера организация The Linux Foundation объявила о запуске проекта Core Infrastructure Initiative (CII) для финансовой поддержки бедствующих Open Source проектов вроде OpenSSL, который в последние годы жил на пожертвования $2000 в год. В официальном пресс-релизе The Linux Foundation подчёркивает,

подробнее »
25 апреля 2014
Обнаружение в коде дефекта «разыменование нулевого указателя»

Этой статьей мы открываем серию публикаций, посвященных обнаружению ошибок и уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker. В рамках этой серии будут рассмотрены наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным

подробнее »
10 января 2017
Обнаружение дефектов кода типа «Expression Issues» (CWE-569)

Настоящей статьей мы продолжаем серию обзоров, посвященных обнаружению уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker. В рамках этой серии рассматриваются наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным уязвимостям.

подробнее »
25 января 2017
Банк «Открытие» объединил разработку, digital-проекты и эксперименты под брендом Open Garage

Находящийся под санацией Центробанка банк «Открытие» представил бренд Open Garage, под которым будут объединены ИТ- и digital-проекты, а также отдел экспериментальных сервисов, рассказали vc.ru в компании. Похожими задачами занимался проект «Альфа-лаборатория» «Альфа-банка».

подробнее »
8 сентября 2017
Подборка докладов по ядру Linux с Open Source Summit Europe 2018

На прошлой неделе в Эдинбурге (Шотландия) прошел европейский Open Source Summit 2018. Представляю вашему вниманию подборку интересных докладов по ядру Linux, на которых мне удалось поприсутствовать. Читать дальше →

подробнее »
30 октября 2018
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии