Rails 3 XSS Protection (Rails user group Hamburg 2009-12-09)

Rails 3.0 XSS Protection in ERB und das rails_xss-Plugin für Rails 2.3

Worum geht‘s?

XSS Cross-Site Scripting

XSS Cross-Site Scripting Formular Web- site

XSS Cross-Site Scripting Böses Script Formular Web- site

XSS Cross-Site Scripting Formular Web- Böses site Script

XSS Cross-Site Scripting unschuldiger Seitenaufruf Formular Web- Böses site Script

XSS Cross-Site Scripting unschuldiger Seitenaufruf Formular Web- Böses site Script Böses Script

Unsichere Strings???

Strings, die potentiell gefährlich sind, wenn sie auf einer Website ausgegeben werden

Beispiele • Benutzereingaben (params-Hash) • Daten aus der DB • Hartgecodete Strings von unvorsichtigen Programmierern • Kombinationen davon (z.B. Helper) • …alles, was evtl. ein böses Script sein könnte

Wie schützt man sich bei Rails 2?

<%=h some_string %>

Der h-Helper • Alias für html_escape • Escaped alle gefährlichen Zeichen, z.B: HTML-Tags, in unsicheren Strings • <li>foo</li> ➜ <li>foo</li>

Wie schützt man sich unter Rails 3?

<%= some_string %>

Kein h !!!

Kein h !!! ➜ Alle Strings durch h-Helper geﬁltert

Manchmal will ich das gar nicht!

String als sicher kennzeichnen (1/2) • Attribut lesen: my_string.html_safe? ➜ false/true • Als safe markieren: my_string.html_safe!

String als sicher kennzeichnen (2/2) • für Helper: safe_helper :my_helper • In Views: <%= raw @article.textilized %>

Rails 3 is paranoid !!!

Um Safe-Status zu behalten, nur: << concat +

Crazy paranoid stuff • safe_stuff + more_safe_stuff ➜ safe • "#{safe_stuff}#{more_safe_stuff}" ➜ unsafe

Crazy, not so paranoid stuff (1/2) def bar_helper "<p>bar</p>" end def foo_helper content_tag "p" do '<script type="text/javascript">alert("foo");</script>' end end

Crazy, not so paranoid stuff (2/2)

Mitdenken nicht vergessen!!!

Ich hab ne Rails 2.3-App, und ich würde gerne die Templates an das neue Default-Verhalten anpassen, hab aber keinen Bock, das noch recht instabile Rails 3.0 zu nehmen, weil ich da ja quasi ne ganze Menge Zeugs mitheirate, das ich entweder nicht gebrauchen kann, wo ich aktuell keine Zeit habe, mich reinzuarbeiten oder was ich einfach zu unausgegoren halte, und ich hab einfach keine Zeit oder keinen Bock oder beides, um mich nach jeden paar Commits da wieder reinzufrickeln um zu checken was eigentlich dieses mal wieder kaputt gegangen ist und dann irgendwelche Entwicklungsversionen von abhängigen Gems zu installieren und all der aufwändige Scheiß, weil irgendwann muss ich ja auch noch mal arbeiten und so denn von alleine verdient sich Geld ja bekanntlich nicht.

Jahaa! Geht!

rails_xss von NZKoz • Plugin für Rails 2.3 • Verwendet erubis-Gem zum erb-Parsen • Imitiert Default-Verhalten von Rails 3 • http://github.com/NZKoz/rails_xss/

? Fragen?

! Ralph von der Heyden http://rvdh.de @ralph

http://rvdh.de	94
http://www.rvdh.de	21
http://www.slideshare.net	2

Rails 3 XSS Protection (Rails user group Hamburg 2009-12-09)

by Ralph von der Heyden on Dec 14, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

3 Embeds 117

Statistics

Rails 3 XSS Protection (Rails user group Hamburg 2009-12-09) — Presentation Transcript