簡體 English 中英

Rails：從用戶提交的文件中提取文本會帶來哪些安全問題？

[英]Rails: what security issues come with extracting text from user-submitted files?

原文 2013-03-21 15:19:53 2 1 ruby-on-rails/ security/ text-parsing

如果應用程序的用戶能夠提交純文本文件，並且這些文件中的數據是由使用正則表達式的程序從文件中提取的（然后將其返回給用戶），那么該如何濫用？

我知道在保存可執行文件或未經過處理的文件名時存在一些問題，但是我不知道僅僅打開並解析一個臨時存在於內存中的文件會有什么風險。

謝謝。

1 個解決方案

這在很大程度上取決於該理論系統的實施。 最大的兩個漏洞是：

SQL注入。 如果要將這些數據提交到數據庫中並且以不正當的方式提交，則可以使數據庫暴露於用戶上傳的任何惡意格式化的數據。
跨站點腳本。 如果您將上傳的結果呈現為HTML，則如果未正確轉義結果，則可能允許XSS漏洞。

正確處理用戶輸入可以減少這些問題。 通常，盡管很大程度上取決於代碼的實際實現細節。 如果您正在eval用戶的輸入，顯然，這也是一個巨大的安全漏洞……但是，在這一詳細級別上，我們看不到它。

從Ruby on Rails中用戶提交的輸入生成URL

[英]Generating a URL from user-submitted input in Ruby on Rails

在哪里清理用戶提交的數據？

[英]Where to cleanup user-submitted data?

Rails 3 /回形針：如何獲取/設置用戶提交的mp3文件的屬性？

[英]Rails 3 / paperclip: How to get/set attributes of user-submitted mp3 file?

作為開發人員，如何防止自己在服務器上看到用戶提交的數據？

[英]How can I prevent myself as a developer from seeing user-submitted data on the server?

Rails應用程序中的安全性-用戶提交的數據

[英]Security in a Rails app - User submitted data

從rails日志文件中提取錯誤信息

[英]extracting error information from rails log files

使用User.current_user的安全問題是什么

[英]What are the security issues of using User.current_user

Rails可以提交占位符文本嗎？

[英]Rails can placeholder text be submitted?

Rails：臭名昭着的“current_user”來自哪里？

[英]Rails: where does the infamous “current_user” come from?

Rails-試圖學習康康舞，但是@user對象來自哪里

[英]Rails - Trying to learn cancan, but where does @user object come from

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 從Ruby on Rails中用戶提交的輸入生成URL 在哪里清理用戶提交的數據？ Rails 3 /回形針：如何獲取/設置用戶提交的mp3文件的屬性？作為開發人員，如何防止自己在服務器上看到用戶提交的數據？ Rails應用程序中的安全性-用戶提交的數據從rails日志文件中提取錯誤信息使用User.current_user的安全問題是什么 Rails可以提交占位符文本嗎？ Rails：臭名昭着的“current_user”來自哪里？ Rails-試圖學習康康舞，但是@user對象來自哪里

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM