遠端應用程式使用已知的 Ruby on Rails 私密 Token
medium Nessus Plugin ID 64298
語系:
概要
遠端主機上的 Ruby on Rails 應用程式會重複使用私密 token。說明
遠端主機上的 Ruby on Rails 應用程式使用已知的私密 token 來簽署和加密 Cookie/資料。解決方案
若您可控制此應用程式的組態,請產生適當的私密 token 並確保不將其公開公用。私密檔案位於:web_application_root/config/initalizers/secret_token.rb
確保此值確實為唯一。若您無法控制組態,供應商提供的升級可讓每個安裝的私密 token 皆為唯一。
另請參閱
http://www.nessus.org/u?e33a3010
Plugin 詳細資訊
嚴重性: Medium
ID: 64298
檔案名稱: ruby_on_rails_known_secret.nbin
版本: 1.111
類型: remote
系列: General
已發布: 2013/1/30
已更新: 2024/5/20
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 5.8
時間分數: 5.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
弱點資訊
CPE: cpe:/a:rubyonrails:ruby_on_rails
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: No exploit is required
弱點發布日期: 2012/12/21