ruby-on-rails – 是否可以对redis查询运行字符串注入攻击?

栏目: Ruby · 发布时间: 5年前

内容简介:我正在为我的(基于rails的)api服务器构建一个基于令牌的认证库,它使用redis来存储生成的auth令牌.我担心的是:user_id = $redis.get(“auth:#{token}”),其中token是传递给authenticate_or_request_with_http_token的内容.如果这是SQL,那将是一个巨大的红旗 – 字符串插值SQL查询是非常不安全的.然而,据我所知,在redis密钥查询上进行字符串插值并不安全.我上面提到的声明的源代码是redis文档:

我正在为我的(基于rails的)api服务器构建一个基于令牌的认证库,它使用 redis 来存储生成的auth令牌.我担心的是:user_id = $redis.get(“auth:#{token}”),其中token是传递给authenticate_or_request_with_http_token的内容.

如果这是SQL,那将是一个巨大的红旗 – 字符串插值 SQL 查询是非常不安全的.然而,据我所知,在redis密钥查询上进行字符串插值并不安全.

我上面提到的声明的源代码是redis文档: http://redis.io/topics/security (在字符串转义和nosql注入标题下),但我想确保在我获得Bobby Tables攻击之前就是这种情况.

您指向的文档非常明确:
The Redis protocol has no concept of string escaping, so injection is impossible under normal circumstances using a normal client library. The protocol uses prefixed-length strings and is completely binary safe.

翻译自:https://stackoverflow.com/questions/22023538/is-it-possible-to-run-a-string-injection-attack-on-a-redis-query


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

网络传播学

网络传播学

吴风 / 中国广播电视出版社 / 2004-6-1 / 22.00元

本书把网络传播置于构型与解构的双重语境中,全面而深入地梳理了网络传播的概念、发展背景与现状、传播模式、传播物征、传播学意义,并从文化学、舆论学、政治学、心理学、符号学、法学、伦理学等视角,对网络传播对于国家民族进步、社会文明与个体发展等方面所带来的影响,作了理性审视。最后,作者指出网络传播在目前的新发展中,尚存在着侵犯个人隐私权、网络著作侵权、公共信息安全、网络色情、虚假信息等诸多的问题,对于这些......一起来看看 《网络传播学》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试