繁体 English 中英

Rails：从用户提交的文件中提取文本会带来哪些安全问题？

[英]Rails: what security issues come with extracting text from user-submitted files?

原文 2013-03-21 15:19:53 2 1 ruby-on-rails/ security/ text-parsing

如果应用程序的用户能够提交纯文本文件，并且这些文件中的数据是由使用正则表达式的程序从文件中提取的（然后将其返回给用户），那么该如何滥用？

我知道在保存可执行文件或未经过处理的文件名时存在一些问题，但是我不知道仅仅打开并解析一个临时存在于内存中的文件会有什么风险。

谢谢。

1 个解决方案

这在很大程度上取决于该理论系统的实施。 最大的两个漏洞是：

SQL注入。 如果要将这些数据提交到数据库中并且以不正当的方式提交，则可以使数据库暴露于用户上传的任何恶意格式化的数据。
跨站点脚本。 如果您将上传的结果呈现为HTML，则如果未正确转义结果，则可能允许XSS漏洞。

正确处理用户输入可以减少这些问题。 通常，尽管很大程度上取决于代码的实际实现细节。 如果您正在eval用户的输入，显然，这也是一个巨大的安全漏洞……但是，在这一详细级别上，我们看不到它。

从Ruby on Rails中用户提交的输入生成URL

[英]Generating a URL from user-submitted input in Ruby on Rails

在哪里清理用户提交的数据？

[英]Where to cleanup user-submitted data?

Rails 3 /回形针：如何获取/设置用户提交的mp3文件的属性？

[英]Rails 3 / paperclip: How to get/set attributes of user-submitted mp3 file?

作为开发人员，如何防止自己在服务器上看到用户提交的数据？

[英]How can I prevent myself as a developer from seeing user-submitted data on the server?

Rails应用程序中的安全性-用户提交的数据

[英]Security in a Rails app - User submitted data

从rails日志文件中提取错误信息

[英]extracting error information from rails log files

使用User.current_user的安全问题是什么

[英]What are the security issues of using User.current_user

Rails可以提交占位符文本吗？

[英]Rails can placeholder text be submitted?

Rails：臭名昭着的“current_user”来自哪里？

[英]Rails: where does the infamous “current_user” come from?

Rails-试图学习康康舞，但是@user对象来自哪里

[英]Rails - Trying to learn cancan, but where does @user object come from

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 从Ruby on Rails中用户提交的输入生成URL 在哪里清理用户提交的数据？ Rails 3 /回形针：如何获取/设置用户提交的mp3文件的属性？作为开发人员，如何防止自己在服务器上看到用户提交的数据？ Rails应用程序中的安全性-用户提交的数据从rails日志文件中提取错误信息使用User.current_user的安全问题是什么 Rails可以提交占位符文本吗？ Rails：臭名昭着的“current_user”来自哪里？ Rails-试图学习康康舞，但是@user对象来自哪里

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM