Ruby on Rails HTTP请求跨站请求伪造漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1176854 漏洞类型 跨站请求伪造
发布时间 2011-02-14 更新时间 2019-08-09
CVE编号 CVE-2011-0447 CNNVD-ID CNNVD-201102-214
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201102-214
|漏洞详情
Ruby on Rails 是一个新的Web应用程序框架,构建在Ruby语言之上。 Ruby on Rails 2.1.x,2.2.x及2.3.11之前的2.3.x版本,3.0.4之前的3.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造(1)AJAX或者(2)API请求进行跨站请求伪造攻击。
|参考资料

来源:weblog.rubyonrails.org
链接:http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails
来源:MLIST
名称:[rubyonrails-security]20110209CSRFProtectionBypassinRubyonRails
链接:http://groups.google.com/group/rubyonrails-security/msg/c22ea1668c0d181c?dmode=source&output=gplain
来源:NSFOCUS
名称:16670
链接:http://www.nsfocus.net/vulndb/16670