Celah keamanan XSS pada method strip_tag()
• Kunto Aji - Last modified atSaat ini terdapat celah keamanan Cross-Site Scripting (XSS) ditemukan pada method dari Rails bernama strip_tag()
. Celah keamanan ini memungkinkan terjadinya serangan terhadap pengguna peramban Internet Explorer. Permasalahan ini disebabkan oleh HTML::Tokenizer
yang memiliki bug saat melakukan parsing terhadap non-printable karakter ASCII.
Berdasarkan rorsecurity yang mengacu pada laporan pada google group rubyonrails-security, celah keamanan ini telah diperbaiki pada Rails 2.3.5 dan versi 2.2.x. Celah keamanan ini tidak berpengaruh pada aplikasi yang tidak menggunakan method strip_tag()
. Jadi sangat disarankan untuk upgrade jika terdapat pemanggilan strip_tag()
pada aplikasi Ruby on Rails yang dibuat.
Hasil dari method strip_tag()
dapat melewati fungsi escaping pada Rails yang umumnya dipakai pada <%= h(strip_tag(...)) %>
- Tags:
- #security
- #ruby on rails
Recent Posts
C# DbContext ServiceLifeTime
my note about C Sharp ServiceLifeTime
PostgreSQL Index Usage Monitoring
Having too many unused or underused indexes on a table can slow down write and update operations in your PostgreSQL database, making it crucial to regularly identify and manage them for optimal performance.
KAK Labs Newsletter #6 - Staying Safe From Pegasus Spyware
Newsletter #6 - Pegasus, Ruby, PostgreSQL and networkQuality tool
Material Design - Paragraph Spacing
According to Google's Material Design, keep paragraph spacing in the range between .75x and 1.25x of the type size.
Amazon SDK for C# - S3 File Download Methods
Comparison between `TransferUtility.DownloadAsync`, `DownloadSingleFileAsync`, and `GetObjectAsync`.