Jay*_*Jay 6 security ruby-on-rails
我在开发环境中使用'Thin'作为我的rails服务器.我注意到一些令我惊恐的事情.我休息了一下......我的机器上没有按键.瘦机运行的终端窗口产生以下结果:
Started GET "/controller/method" for 127.0.0.1 at ...
Processing by ...Controller#method as HTML
Completed 401 Unauthorized in 58ms
Started GET "/users/sign_in" for 127.0.0.1 at 2013-08-16 11:47:02 -0400
Processing by Devise::SessionsController#new as HTML
...
Completed 200 OK in 178ms (Views: 22.3ms | ActiveRecord: 3.7ms)
某处我的开发机器响应了对需要授权的特定页面的请求,并向某人显示了登录屏幕.它不在我的机器上.我办公室里没有其他人具备在我的机器上进行黑客攻击的技术能力或兴趣.所以它必须来自我的无线路由器或通过我们的互联网连接...我猜.
在生产中我有一个访问日志,它为访问我们网站的所有人提供了一个IP地址.我可以做些什么来提供这种信息吗?我可以在rails配置中做些什么来确认它确实是一次黑客攻击?
我在这里解决rails过程.如果有一个StackExchange站点来解决与我的路由器,互联网连接和开发机器相关的安全问题?它可能是哪一个?
谢谢.
小智 4
这绝对看起来像是某种自动黑客尝试。如果您运行的是旧版本的 Rails,您可以让它执行类似的任意控制器方法,或者如果您的路线文件设置不正确。
只是提醒您将不想让外界直接看到的所有控制器方法设置为私有或受保护。如果可能的话,还要仔细检查您的路由文件,以确保避免不太安全的路由定义,例如匹配。
虽然这不能完全缓解您的安全问题,但主动限制攻击者可能获得的访问权限将为您的项目提供最佳服务。此外,您可以将 Thin 设置为绑定到 127.0.0.1 而不是 0.0.0.0,从而防止外部请求(如果可能)。
| 归档时间: |
|
| 查看次数: |
161 次 |
| 最近记录: |