Cindy
大家好,我是 Cindy,目前在 DEVCORE 當開發工程,6 年以上 Ruby on Rails 開發經驗,喜歡 Ruby,想跟大家分享學到的東西。
Beitrag
10.08
14:05
30min
Rails Active Storage 如何避免被同事攻擊 — 你,懂 BAC 嗎?
Cindy
Rails 的 Active Storage 雖然提供了方便的檔案上傳與管理功能,但若開發者忽略了對檔案存取的授權檢查,極可能導致 Broken Access Control(BAC)漏洞,讓使用者能未經授權下載他人的檔案。在這場分享中,我將透過實際的 Rails 範例,展示一個看似正常的 Active Storage 實作如何讓其他人輕鬆取得不該擁有的機密文件。我們也會一步步分析漏洞產生的原因,並提供具體的修補方案。我們可以思考看看,當我們取得使用者的檔案 url 的時候,表示我們就有權限取得使用者的檔案嗎?其實這樣的問題在任何軟體都有可能發生,值得身為開發者的我們多想一點
RubyConf Taiwan
TR209