Possível problema de mass assignment

3 views
Skip to first unread message

Giovanni Bassi

unread,
Dec 19, 2012, 8:22:00 PM12/19/12
to multas-...@googlegroups.com
Pessoal,

Dei uma olhada nos controllers, me parece que estamos com um possível problema de mass assignment:
Dá uma olhada:
O que acham? Abrimos uma issue pra corrigir?

Se for isso mesmo, com um scriptzinho que alguém escreve e roda em menos de uma hora dá pra apagar a base toda do site.

[]s

Bruno Torquato

unread,
Dec 19, 2012, 8:34:47 PM12/19/12
to multas-...@googlegroups.com
Mas não tem usuários no MultasSociais...

Tem admin só pra apagar multas (exclusao lógica) pra qdo alguem posta foto de sacanagem, usando uma autenticacao http bem basica...

Procurei no codigo como usar o mass assignment pra fazer besteira, mas nao achei...
Em todo caso, acho melhor abrir a issue pra gente proteger aqueles Multa.new(params[:multa]) q tem ali... melhor prevenir...

bem notado...


2012/12/19 Giovanni Bassi <gig...@giggio.net>

--
http://www.multassociais.net
---
Você está recebendo esta mensagem porque se inscreveu no grupo "Multas Sociais" dos Grupos do Google.
Para postar neste grupo, envie um e-mail para multas-...@googlegroups.com.
Para cancelar a inscrição nesse grupo, envie um e-mail para multas-sociai...@googlegroups.com.
Visite este grupo em http://groups.google.com/group/multas-sociais?hl=pt-BR.
 
 

Giovanni Bassi

unread,
Dec 19, 2012, 8:42:46 PM12/19/12
to multas-...@googlegroups.com
Se eu fizer um PUT /multas/1.json eu posso alterar a multa toda por causa da linha: @multa.update_attributes(params[:multa]) (linha 99).
A linha 79 (@multa = Multa.new(params[:multa])) sofre do mesmo problema.
Não poderíamos ter alguém mal intencionado, mesmo sem ser admin, chamando via script essas urls?



2012/12/19 Bruno Torquato <bru...@gmail.com>

Bruno Torquato

unread,
Dec 19, 2012, 8:47:55 PM12/19/12
to multas-...@googlegroups.com
no create (.new) ele conseguiria fraudar qtdd de likes... bobagem...
no update, ele teria q passar pela autenticacao http...

mas blz, abre lá... tem mané pra tudo...



2012/12/19 Giovanni Bassi <gig...@giggio.net>

Giovanni Bassi

unread,
Dec 19, 2012, 8:57:27 PM12/19/12
to multas-...@googlegroups.com
ah, faz sentido. Tinha esquecido a autenticação.
Então é só pro new, pra evitar o número de likes. Vou abrir o issue pra esse.



2012/12/19 Bruno Torquato <bru...@gmail.com>
Reply all
Reply to author
Forward
0 new messages