現在のRailsのセキュリティアラートが発生していることを考えると、私はいくつかのアプリのアプリケーションを保護することを検討しています。それらのほとんどは、XML / JSON解析をほとんど使用しておらず、使用する場合は、特定のページまたはフックをサードパーティのサービスと統合することです。
デフォルトのパーサーを削除して機能を完全にオフにする機能を見てきましたが、http基本認証またはその他の手段で保護されている可能性のある特定のルートで有効/ホワイトリストに登録する方法はありますか?それには、少なくとも、これらのタイプの脆弱性を悪用しようとする誰かが、それが有効になっている特定の場所を知る必要があります。
あなたが話している振る舞いは、Rackミドルウェアとして実装されており、コントローラーに到達する前に着信要求を処理します。
このミドルウェアは、さまざまなmimeタイプに対して有効になっているパーサーのリストに作用するものです。特定のリクエストで異なるパラメータ解析ロジックが使用される場合のカスタムルールを追加する場合は、この動作を再度開くことでパッチを適用できます。
現在のXML/YAML解析の脆弱性の主なリスクは、オブジェクトのより豊富な再シリアル化を提供するコールバックに関係しています。したがって、これを行うための1つの可能な方法は、XML / YAMLのツリーを解析する低レベルのAPIを使用することですが、Rubyスカラー(文字列、数値、ハッシュなど)以外のハイドレーションは実行しないでください。それがうまくいかない場合は、Yajlのようなパーサーを使用するか、多くの場合、gemの最新バージョンにアップグレードするだけで、解析を続行できます。
また、解析の主なリスクは、応答の解析ではなく、パラメーターの解析にあります。応答の解析(特にサービスを信頼でき、安全なチャネルを介して通信できる場合)は、いつどこで発生するかを制御できるため、リスクがはるかに低くなります。