Celah keamanan XSS pada method strip_tag()
• Kunto Aji - Last modified atSaat ini terdapat celah keamanan Cross-Site Scripting (XSS) ditemukan pada method dari Rails bernama strip_tag(). Celah keamanan ini memungkinkan terjadinya serangan terhadap pengguna peramban Internet Explorer. Permasalahan ini disebabkan oleh HTML::Tokenizer yang memiliki bug saat melakukan parsing terhadap non-printable karakter ASCII.
Berdasarkan rorsecurity yang mengacu pada laporan pada google group rubyonrails-security, celah keamanan ini telah diperbaiki pada Rails 2.3.5 dan versi 2.2.x. Celah keamanan ini tidak berpengaruh pada aplikasi yang tidak menggunakan method strip_tag(). Jadi sangat disarankan untuk upgrade jika terdapat pemanggilan strip_tag() pada aplikasi Ruby on Rails yang dibuat.
Hasil dari method strip_tag() dapat melewati fungsi escaping pada Rails yang umumnya dipakai pada <%= h(strip_tag(...)) %>
- Tags:
- #security
- #ruby on rails
Recent Posts
How to Defend Against Brute-Force and DoS Attacks with Fail2ban, Nginx limit_req, and iptables
In this tutorial, I’ll explain how to protect your public-facing Linux server and Nginx web server from common threats, including brute-force and DoS attacks.
Is Getting AWS Solutions Architect Associate Certification Worth It?
If you are a full-time Software Engineer, there's no strong need to pursue this certification.
DevSecOps
My Notes about DevSecOps
AWS Secrets Manager
Explanation about AWS Secrets Manager with example code.
Envelope Encryption
Envelope encryption is the practice of encrypting plaintext data with a data key, and then encrypting the data key under another key.