Rails Security (上)
Author: Lobsiinvok
0x00 前言
Rails是Ruby廣泛應用方式之一,在Rails平臺上設計出一套獨特的MVC開發架構,採取模型(Model)、外觀(View)、控制器(Controller)分離的開發方式,不但減少了開發中的問題,更簡化了許多繁複的動作。
此篇講稿分為上下部份,因為最近在開發Rails,需要針對安全問題做把關,便藉此機會針對歷史上Rails發生過的安全問題進行歸納與整理。
這篇講稿承蒙安全領域研究上的先進,在自行吸收轉換後,如有筆誤或理解錯誤的地方還望各位見諒並糾正我,感謝 :D
快速跳轉
0x01 Mass assignment
- 讓Rails developers愛上的毒藥(toxic)
- ActiveRecord在新增物件時可傳入Hash直接設定多項屬性
若沒有限制可傳入的引數會造成物件屬性可被任意修改
透過新增/修改送出的屬性,可以變更任意物件屬性
Rails 3.2.3後,config.active_record.whitelist_attributes = true
Rails 4後,Rails Core內建strong_parameters
更適當地將處理的過程鎖定在Controller layer
更有彈性地針對屬性作過濾
0x02 Unsafe Query Generation
Rake在處理params時,有時候會產生Unsafe的query
透過偽造params[:token]成[], [nil], [nil, nil, ...]或['foo', nil],都能夠透過.nil?的檢查,使得SQL語句被安插IS NULL or IN ('foo', NULL)造成非預期的結果
在Rails 3.2.8增加deep_munge方法來消除掉Hash裡的nil
commit中可看到類似的檢查
Code for Testing
Rails 3.1.0: 成功繞過nil?的檢查
Rails 4.2.5: 被攔截,直接替換成nil
0x03 Content_tag
Rails提供content_tag方便產生HTML
- 儘管方便,產生出的HTML是safe的嗎?很顯然的並不是!
Ref: brakeman
In latest rails 4.2.5, attr still can be injected with any html data.
儘管attr values有escape,但跟button_to一起作用時卻……
Why?
- Content_tag回傳
html_safe的字串,代表此字串在後續輸出時不再做escape - 建立在attacker無法構建
html_safe型的字串(等價於raw) - 丟給button_to時因為不再做escape導致XSS問題
0x04 YAML.load
難得一見的RCE漏洞(CVE-2013-0156)
- 主因出在YAML
- CVE-2013-0156發生在可透過YAML解析時指定tag的方式覆蓋已經載入的instance
在rails3後已從
DEFAULT_PARSERS移除
此次問題發生在XML解析
在解析時會經過Hash.from_xml(request.raw_post),底處是到typecast_xml_value進行xml的處理,這篇前輩的文章解釋得很清楚,因為typecast_xml_value裡針對xml node type可以進行YAML的解析呼叫(允許的type定義在
ActiveSupport::XmlMini::PARSING),因此造成RCE問題透過patch可以更明顯看到修補後的不同
Ref: Rails 3.2
Proof
Rails 3.1: 成功執行指令
難得一見的RCE漏洞(CVE-2013-0333)
- CVE-2013-0333問題一樣發生在
YAML.load - 在rails 3.0.19(含)前,rails3.0.x的JSON Parser竟然是使用YAML作為Backend
- 問題發生在YAML backend中的
convert_json_to_yaml - 這篇講得很詳細
- Patch for CVE-2013-0333
0x05 Dynamic Render Path
Render是處理request的一連串過程
- 除了Insecure Direct Object Reference的安全問題,DEVCORE也在進行滲透測試時發現潛在的RCE問題
- rails目前最新版本4.2.5預設也是用ERB去做樣板處理,但在rails5開發過程中已經加入此次commit
動態樣板間接變成LFI問題,搭配上面所述的
default_template_handler為ERB,只要找到有呼叫ruby code的樣板或是可自行寫入的檔案,就能夠造成RCE
真實環境下發生的問題可以前往DEVCORE檢視
如果有類似開發環境應立即處理,
default_template_handler要到rails5才轉換成RAW改以白名單的方式限制template名稱或是根據commit的內容手動Patch
0x06 Reference
- The Ruby/GitHub hack: translated
- How Does Rack Parse Query Params? With Parse_nested_query
- Cross Site Scripting (Content Tag)
- Bad coding style can lead to XSS in Ruby on Rails
- 分析下難得一見的ROR的RCE(CVE-2013-0156)
- Rails PoC exploit for CVE-2013-0333
- Dynamic Render Path
- Rails 動態樣板路徑的風險
相關文章
- Spring Security 上Spring
- Rails遺留程式中最常犯的錯誤(上)AI
- [Rails學習之路]Rails路由配置AI路由
- 精簡版的Rails框架->Rails::APIAI框架API
- Ruby on Rails 生成指定版本的 Rails 專案AI
- rails on ruby,ruby on rails 之程式碼塊(二)AI
- 從Rails到Clojure再到Java,最後回到RailsAIJava
- Rails安裝AI
- Rails Code QuestionsAI
- [ruby] rails renderAI
- Rails分頁AI
- Rails的模板AI
- Security
- Modular Rails: The complete Guide to Modular Rails Applications 筆記AIGUIIDEAPP筆記
- ruby on rails 小技巧AI
- Rails 一對多AI
- rails graphql的使用AI
- rails 配置使用mysqlAIMySql
- Rails 4.0.1 釋出AI
- Rails 3.2.7 釋出AI
- Ruby on Rails 相關AI
- Ruby On Rails 技術AI
- BackboneJS與RailsJSAI
- Oracle SecurityOracle
- DB SECURITY
- [譯] 如何使用 Rails HelperAI
- Ruby on Rails Ping ++ 支付AI
- Rails常用gem總結AI
- 部署rails遇到問題AI
- Rails中的Helper方法AI
- rails4.0 session activerecordAISession
- 微信紅包介面呼叫(rails)AI
- rails git工作流程AIGit
- Rails動態find_byAI
- RubyStack now with Rails 3.2.7 and VarnishAI
- What is the difference between <%, <%=, <%# and -%> in ERB in Rails?AI
- do |r| Ruby & Rails endAI
- 什麼是 Ruby on Rails?AI