Salut Guirec,
Cette attaque mise sur le fait que tu aies un
File.open(params[:service_id]) dans ton controlleur. Si ce n'est pas le
cas, rien à craindre.
Et le %00, c'est pour contrer la bonne idée que tu aurais de faire un
File.open("#{params[:service_id]}.pdf") par exemple (l'attaquant peut ainsi
ouvrir n'importe quel fichier sans le `.pdf` que tu ajoutes dans ton code).
C'est vieux comme le monde, mais les scanners de vulnerabilités le testent
encore, on ne sait jamais ;-)
Il n'y a pas matière à s'inquiéter.
2014-07-31 12:21 GMT+02:00 Guirec Corbel <[email protected]>:
> Bonjour,
>
> Hier soir, un de mes sites a été victime d'une attaque. Le programme
> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de ce
> type :
> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00"
> ou "/index.php?page=/../../../../../../../../../../etc/passwd%
> 00&artiste_id=12".
>
> Avez-vous déjà été victime de ceci? Comment bien le gérer?
>
> Cette attaque me fait poser une question. J'imagine que ce n'est pas
> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un bonne
> pratique d'utiliser un token ou friendly id à chaque fois?
>
> Bonne journée à tous,
> Guirec.
>
> --
> --
> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de
> Google Groups.
> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse
> [email protected]
> Pour résilier votre abonnement envoyez un e-mail à l'adresse
> [email protected]
> --- Vous recevez ce message, car vous êtes abonné au groupe Google
> Groupes Railsfrance.
> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le
> concernant, envoyez un e-mail à l'adresse railsfrance+unsubscribe@
> googlegroups.com.
> Pour plus d'options, visitez le site https://groups.google.com/d/optout .
>
--
Michael Baudino
@michaelbaudino
+33 (0) 7.61.90.93.62
Alpine Lab
1 rue de la Martinière
69001 Lyon
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de
Google Groups.
Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse
[email protected]
Pour résilier votre abonnement envoyez un e-mail à l'adresse
[email protected]
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes
Railsfrance.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant,
envoyez un e-mail à l'adresse [email protected].
Pour plus d'options, visitez le site https://groups.google.com/d/optout .
