介绍RubySec实战指南 - The Trail of Bits博客
作者:Dan Guido
发布日期:2015年6月8日
分类:教育、漏洞利用、指南
在Ruby应用程序中发现的漏洞有可能影响互联网的广泛领域,并吸引攻击者瞄准有利可图的在线目标。这些漏洞利用了YAML格式数据的序列化和反序列化等特性及常见用法。几乎所有经过测试和信任的大型开源Ruby项目都包含其中一些漏洞,但很少有开发者意识到这些风险。
在我们的RubySec实战指南中,您将涵盖近期Ruby漏洞类别及其根本原因。您将看到演示并开发实际漏洞利用。您将研究漏洞背后的模式,并制定软件工程策略,以避免在您的项目中出现这些漏洞。
您将学习
- 过去Rails漏洞的机制和根本原因
- 减轻反序列化缺陷影响的方法
- 通过YAML反序列化实现基于Rack应用程序的Rootkit技术
- YAML反序列化缺陷的缓解技术
- 防御性Ruby编程技术
- 使用Mutant进行高级测试技术和模糊测试
我们构建了这本实战指南,以便您可以按自己的节奏快速学习,但如果您在学习过程中有任何问题,请与我们联系。如果有足够的需求,我们甚至可能安排在线讲座。
现在,开始工作吧。
- The Trail of Bits团队
如果您喜欢这篇文章,请分享:
Twitter、LinkedIn、GitHub、Mastodon、Hacker News
页面内容
近期文章
- 构建安全消息传递很难:对Bitchat安全辩论的细致看法
- 使用Deptective调查您的依赖项
- 系好安全带,Buttercup,AIxCC的评分回合正在进行中!
- 将智能合约成熟度提升至超越私钥风险
- Go解析器中意想不到的安全陷阱
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。