Security Tips

Hackers Love Mass Assignment
对于多个变量同时赋值，黑客比较喜欢利用这个特性进行攻击：

比如直接从一个表单中提取参数赋值个一个对象的各个属性，这样做的话，黑客可以通过curl命令来模拟提交表单的各个参数，而在其中加入为一些关键的属性赋值，例如admin=true, 这样黑客就可以获得管理员权限，从而破坏网站。

解决的方法是：
把那些关键属性添加一条命令：
attr_protected :admin

但是这种做法只能保护某一些属性，更好的做法也许是
attr_accessible :name

这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。

评论

5 楼 Hooopo 2009-12-28  

http://chinaonrails.com/topic/view/103.html

4 楼 Hooopo 2009-10-01  

各种XSS： http://ha.ckers.org/xss.html

3 楼 Hooopo 2009-10-01  

hackers blog:http://ha.ckers.org/blog/

2 楼 Hooopo 2009-10-01  

rails security guides:http://guides.rubyonrails.org/security.html

1 楼 Hooopo 2009-10-01  

seven-security-tips： http://railscasts.com/episodes/178-seven-security-tips