草庐IT

安全标准

全部标签

ruby-on-rails - 为 Rails 上的连接、限制、选择等(不是条件)的 SQL 片段安全地转义字符串

在RubyonRails中,对于条件,很容易进行SQL防注入(inject)查询::conditions=>["title=?",title]标题来自外部,来自Web表单或类似的东西。但是,如果您在查询的其他部分使用SQL片段怎么办,例如::select=>"\"#{title}\"AStitle"#Idohavesomethinglikethisinoneinstance:joins=>["LEFTJOINblahASblah2ONblah2.title=\"#{title}\""]有没有办法正确转义这些字符串? 最佳答案 通常在
ruby-on-railsRailssectiontitlecoderubysql-injectionescaping

ruby - Ruby 的 stdlib Logger 类能否安全地处理来自多个进程的编写器?

我正在开发一个需要进行日志记录的Ruby库。理想情况下,我希望多个工作进程能够登录同一个文件。查看来自Ruby标准库的Logger类的源代码,我看到努力从多个线程同步写入日志(正如对IsRuby'sstdlibLoggerclassthread-safe?的回答中所指出的)。当多个进程写入同一个日志文件时,似乎存在类似的问题:根据底层决定缓冲/拆分写入的方式,每个日志消息可能无法保持其完整性。那么,有没有一种方法可以使用标准的Logger类来允许多个进程安全地记录到一个文件中?如果不是,这在Ruby项目中通常是如何完成的?这就是我所说的“安全”的意思:每个日志行都是“原子的”——在下一
编写Loggercodesectionrubylogging

ruby - Ruby 核心 API 和标准库 API 有什么区别?

RubyDoc有两个部分:核心和标准。核心是默认的,标准有额外的库/方法等。这是否意味着我必须要求这些标准库才能使用它们?我是这么想的,不需要任何东西就从标准库中选择了DateTime.now,它成功了。 最佳答案 是的,你没看错。核心功能是您无需要求即可使用的一切。DateTime似乎不在核心中(你是在Rails控制台中运行你的代码行吗?)DateTime.now#=>#~>-:1:in`':uninitializedconstantDateTime(NameError)但是时间是Time#=>TimeTime.now#=>201
APIrubycodesectionDateTime

ruby - 从 OAuth 安全存储 token / secret /等的正确方法?

我刚刚开始研究OAuth,它看起来非常好。我有oauthwithtwitterworking现在在ruby中。现在我想知道,在我的本地数据库和session中存储响应的推荐安全方法是什么?我应该储存什么?我应该把它存放在哪里?这个例子twitter-oauth-with-railsapp在session中存储了一个user.id,user表有token和secret。但这似乎真的很容易破解并通过传递大量测试用户ID来获取secret,不是吗? 最佳答案 如果没有您的Twitter应用程序的消费者key/secret,token将毫无
secretOAuthsectionsessiontokenrubydatabasesecurity

网络安全必备1000道面试题集锦(附答案)

前言以下为网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。注:本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。一、渗透测试方向:如何绕过CDN找到真实IP,请列举五种方法(★★★)redis未授权访问如何利用,利用的前提条件是?(★★★)mysql提权方式有哪些?利用条件是什么?(★)windows+mysql,存在sql注入,但是机器无外网权限,可以利用吗?(★)常用的信息收集手段有哪些,除去路径扫描,子域名爆破等常见手段,有什么猥琐的方法收集企业信息?(★★)SRC挖掘与
试题集锦试题xff0cxffxff0网络安全网络安全面试题网络web安全安全

ruby - 如何从其他 Ruby 脚本调用标准 Rakefile 中定义的 Rake 任务?

是否可以从其他Ruby脚本调用在Rakefile中定义的任务-而不是在somefile.rake中定义的任务?我希望创建一个新的Rake::Application会自动从同一目录加载Rakefile,但事实并非如此。这是我到目前为止的想法:$LOAD_PATH.unshiftFile.dirname(__FILE__)require'rake'require'pp'rake=Rake::Application.newrake[:hello].invoke执行此代码会产生以下结果:/opt/ruby/1.9.2-p180/lib/ruby/1.9.1/rake.rb:1720:in`[]
Rakefilerubycoderake

ruby - 在 W3C 模式下(Selenium::WebDriver::Error::UnknownCommandError)无法在 Cucumber Ruby 中使用 Selenium ChromeDriver 调用非 W3C 标准命令

我们有CucumberRuby自动化框架,我们在Jenkins上的Docker中对Chromeheadless浏览器运行了一些测试。几天前,我们开始收到错误“此版本的ChromeDriver仅支持Chrome版本75”,这次我们使用ChromeDriver2.46并使用以下命令使用google-chrome-unstable浏览器:#ChromeRUNwget-q-O-https://dl-ssl.google.com/linux/linux_signing_key.pub|apt-keyadd-RUNecho"debhttp://dl.google.com/linux/chrome/
SeleniumUnknownCommandErrorCHROMEDRIVERCHROMEDRIVER_DIRrubygoogle-chromeselenium-chromedriverwebdriver-w3c-spec

ruby - 在 Passenger 中禁用 X-powered-by header 的标准方法?

我找不到任何方法来禁用Passenger的X-Powered-Byheader:X-Powered-By:PhusionPassenger(mod_rails/mod_rack)3.0.11是否可以在不修改其源和在HTTP服务器级别删除header的情况下做到这一点? 最佳答案 在Apache上,您可以取消设置header:#Hide/RemovethePassengerHeadersHeaderalwaysunset"X-Powered-By"Headeralwaysunset"X-Runtime"它不会删除所有名称(因为Ples
X-powered-byPassengersectioncoderubyhttp-headers

ruby - 自动加载在 Ruby 1.9 中是线程安全的吗?

在我看来,自从thisfamousthread以来,Ruby社区一直对自动加载感到恐惧。,出于线程安全原因,不鼓励使用它。有谁知道这在Ruby1.9.1或1.9.2中是否不再是一个问题?我已经看到一些关于在互斥体中包装要求等的讨论,但是1.9变更日志(或者至少是我能够找到的那么多)似乎没有解决这个特定问题。我想知道我是否可以合理地开始在1.9-only库中自动加载而不会有任何合理的悲伤。提前感谢您的任何见解。 最佳答案 因为我也对此感到好奇,所以在2011年对此进行了更新。目前打开了两张工单:http://redmine.ruby-
rubysectionlinoreferrermultithreadingautoloadruby-1.9

ruby-on-rails - 为什么对 params 哈希进行切片会对批量分配造成安全问题?

通过批量分配防止安全风险的官方方法是使用attr_accessible.然而,一些程序员认为这不是模型的工作(或者至少不是仅模型的工作)。在Controller中执行此操作的最简单方法是对params哈希进行切片:@user=User.update_attributes(params[:user].slice(:name))但是文档指出:NotethatusingHash#exceptorHash#sliceinplaceofattr_accessibletosanitizeattributeswon’tprovidesufficientprotection.这是为什么呢?为什么par
ruby-on-railsparamssectionstrongcoderubysecuritymass-assignmentstrong-parameters
45678910