Ruby代码注入

描述：Ruby代码注入

当应用程序将用户可控数据包含到由代码解释器动态评估的字符串中时出现服务器端代码注入漏洞。如果没有严格验证用户数据，则攻击者可以使用制成的输入来修改要执行的代码，并注入将由服务器执行的任意代码。

服务器端代码注入漏洞通常非常严重，并导致应用程序的数据和功能以及托管应用程序的服务器的常规妥协。也可以使用服务器作为平台，以便进一步攻击其他系统。

修复：Ruby代码注入

只要有可能，应用程序应避免将用户可控数据结合到动态评估的代码中。在几乎每种情况下，都有更安全的替代方法来实现应用程序函数，这不能被操纵以将任意代码注入服务器的处理。

如果被认为不可避免地将用户提供的数据纳入动态评估的代码，则应严格验证数据。理想情况下，应使用特定接受值的白名单。否则，只应接受短字母数字字符串。应拒绝包含任何其他数据的输入，包括任何可想到的代码元字符。

漏洞分类

• CWE-94：对代码的生成的控制不当（'代码注入'）
• CWE-95：动态评估代码中指令的不当中和（'egg注入'）
• CWE-116：输出的编码或逃逸不当
• CAPEC-242：代码注射

典型的严重性

高的

类型索引（十六进制）

0x00100f00.

类型索引（十进制）

1052416.