引入RubySec实战指南 - Trail of Bits博客
作者:Dan Guido
发布日期:2015年6月8日
分类:教育、漏洞利用、指南
在Ruby应用程序中发现的漏洞可能影响互联网的大片区域,并吸引攻击者瞄准有利可图的在线目标。这些漏洞利用了YAML格式数据序列化和反序列化等特性及常见用法。几乎所有经过测试和信任的大型开源Ruby项目都包含其中一些漏洞,但很少有开发者意识到这些风险。
在我们的RubySec实战指南中,您将涵盖近期Ruby漏洞类别及其根本原因。您将观看演示并开发真实世界的漏洞利用。您将研究漏洞背后的模式,并制定软件工程策略以在项目中避免这些漏洞。
您将学习
- 过去Rails漏洞的机制和根本原因
- 减轻反序列化缺陷影响的方法
- 通过YAML反序列化实现基于Rack应用的rootkit技术
- YAML反序列化缺陷的缓解技术
- 防御性Ruby编程技术
- 使用Mutant进行高级测试技术和模糊测试
我们构建了这个实战指南,以便您可以根据自己的进度快速学习,但如果您在学习过程中有任何问题,请联系我们。如果有足够的需求,我们甚至可能安排在线讲座。
现在,开始工作吧。
- Trail of Bits团队
如果您喜欢这篇文章,请分享:
Twitter | LinkedIn | GitHub | Mastodon | Hacker News
页面内容
近期文章:
- Trail of Bits的Buttercup在AIxCC挑战赛中获得第二名
- Buttercup现已开源!
- AIxCC决赛:对决实况
- 攻击者的提示注入工程:利用GitHub Copilot
- 作为新员工发现NVIDIA Triton中的内存损坏漏洞
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。