ウェブアプリケーションのマイナーな脆弱性にHTTPヘッダインジェクションがあります。
Railsやそれ以外のモダンな開発ツールではほとんど問題にならない脆弱性ですが、わずかに脆弱性が発現する余地があります。
この発表では、HTTPヘッダインジェクションの基本的な説明の後、Railsや周辺の対策状況について説明します。
本日お伝えしたいこと
・HTTPヘッダインジェクション入門
・Ruby on Railsはどうか?
・Pumaの状況
・Puma以外の状況
あらすじ
Ruby on Railsの脆弱性を発見した徳丸は、HackerOneで報告をした。すると、女装した謎の人物が現れ、これはRailsの脆弱性ではないと告げた。それはなぜか、この脆弱性の行方は?
この動画は、銀座Rails#34@リンクアンドモチベーション での講演動画を主催者のご好意でいただいたものをそのまま投稿したものです
https://ginza-rails.connpass.com/event/213943/
Twitterでの反応(19:53から)
https://togetter.com/li/1739295?page=3
セミナーを随時開催しています
・EGセキュアソリューションズのセミナー情報
https://www.eg-secure.co.jp/seminar/
------------
■EG セキュアソリューションズ株式会社
https://www.eg-secure.co.jp/
■お仕事の依頼はこちらから
https://www.eg-secure.co.jp/contact/
------------