高防ddos_怎么防cc_精准-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 高防ddos_怎么防cc_精准

高防ddos_怎么防cc_精准

小墨安全管家 2021-05-04 03:16 网站防护 89 ℃
DDoS防御
大多数Rails应用程序通常使用大量gem。其中一些宝石大概是Rails引擎。designe、Shoppe和RailsAdmin基本上引擎的例子。引擎的简单定义是一具迷你Rails应用程序。当您在Rails应用程序中包含引擎时,实际上算是在应用程序中包含一具应用程序。与gems提供Faker或Haikunator如此的简单库代码不同,引擎能够添加Rails模型、操纵器、视图、初始值设定项甚至路由到应用程序。精明的人会指出这大概是多么不安全。更糟糕的是,有时这些引擎是你无法操纵的宝石,静态分析漏洞扫描器brakemann大概无法捕捉到这些漏洞。引擎中的漏洞示例一具简单的例子算是我在administrategem中发觉的CSRF漏洞。我发觉administrategem为治理仪表板添加了一具/admin路由,但未能为这些路由启用Rails的CSRF爱护。所以,DDoS防御,您的Rails应用程序上的/admin/*上的非GET请求不大概验证CSRF令牌的真实性。在发觉Administrate中的那个特定漏洞之后,我进一步研究了那个漏洞是否普遍存在,是否阻碍了Rails引擎。类似于我们在研究车把易损性时所做的。令我惊奇的是,我在其他宝石中也发觉了类似的弱点,比如Typus,Upmin和Doorkeeper。类似地,这些gem会将路由添加到应用程序中,但无法在它们上启用CSRF爱护。所以,开放源代码引擎忽略protect_from_-from-family调用也许有些普遍。更糟糕的是,处理这些路由的操纵器不在应用程序的名目中,DDoS防御,所以Brakeman将无法猎取它。你能做些啥?假如您关怀应用程序的安全性,我建议Rails开辟人员做一些情况。了解你的宝石是的,是时候停止相信宝石的魔力了。gems为我们提供了一种抽象形式,让我们可以专注于编写自个儿的应用程序代码,这一点特别好,但我们基本变得过于相信Gemfile上的每一具gem了。仅仅了解gem提供的功能是不够的,我们还必须了解它对我们的应用程序有啥作用。关于发动机来讲尤其这样。这么,当你检查一具特定的宝石时,你需要注意啥?看看gem增加了啥路线。您需要懂添加到应用程序中的其他路由。这通常在gem的配置中找到/路线.rb文件。假如gem提供了一具生成器来生成代码,这么就花点时刻来理解和观看生成的代码。generate命令通常告诉您在运行生成器时添加或更改了哪些文件。->%rails生成adm策略:安装经过2458过程中的弹簧预紧器运行路由命名空间:admin do资源:产品根名目到:"产品索引"结束创建应用程序/操纵器/治理员/应用程序_操纵器.rb创建应用程序/仪表板/产品_仪表板.rb产品/应用程序/治理员创建操纵器_操纵器.rb找出宝石的依靠关系。Bundler提供了一具bundle-viz命令,用于可视化应用程序依靠项的依靠关系图。这就引出了下一点。泯灭你的依靠假如您需要的gem功能脚够简单,就自个儿实现它。附加的依靠关系会增加内存使用并扩大攻击范围。我不是在提倡NIH的心态,CC防御,但我要讲的是,你应该只在你的确需要的时候才使用gems。npm left pad传说让我怀疑我们是否过于依靠我们的宝石。代码重用特别好,CC防御,然而假如gem或库惟独10行代码,我以为我们基本走得太远了。

高防ddos_怎么防cc_精准


DDoS防御

当前位置:主页 > 网站防护 > 高防ddos_怎么防cc_精准

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119