Help us understand the problem. What is going on with this article?

Ruby/RailsのLoggerで任意コマンドを実行可能なので注意

More than 3 years have passed since last update.

TL;DR

ターミナル開いて以下叩くとlsが実行されます。

$ ruby -e 'require("logger"); Logger.new("| ls")'

概要

Ruby/Rails界隈でもevalや``(バッククウォート)は
ユーザからの入力値入れちゃったら大変だから気をつけろ〜的なのは散々言われていますが
Loggerで任意シェルコマンド実行できるのは知らなかったのでメモとして残しておきたかったのと
それに付随してrailsのconstantizeは危険な場合があるという話です

動作環境

Ruby 2.3.1
Rails 5.0.0

Loggerでのコマンド実行方法

TL;DRにも書きましたが、単にLogger.newの引数に|+好きなコマンドを入れるだけで実行できます

> require("logger")
> Logger.new("|pwd")

どういう時に危険か

The Safest Way to Constantize... (これ読んでLoggerでコマンド実行できること知りました)
この記事はRailsのconstantizeが危ないよという記事です。

constantizeとはレシーバの文字列をクラスとして返してくれるやつですね

> puts "Fixnum".class 
# => String
> puts "Fixnum".constantize
# => Fixnum

動的にクラスを引っ張ってくるので地味に便利なのですが
仮にユーザからの入力値に対してconstantizeした場合に気をつける必要があります。

例えば

class ContentsController < ApplicationController
  # GET /contents
  def index
    obj = params[:type].constantize.new(params[:value])
  end
end

なんていうコントローラがあった場合に/contents?type=Logger&value=|悪意のあるコマンド(実際にはエンコードされてるでしょう)を叩くとLogger.new("|悪意のあるコマンド")ができあがってしまい、いとも簡単に|以降のコマンドを実行してしまいます。

ではどうやってconstantizeを安全に使うかというのは先ほどの「The Safest Way to Constantize...」に載ってるのでそちらを参照して下さい。

まとめ

よくよく考えるとあんまこんなコード書かないかもしれませんが知ってるのと知ってないのとでは大違いなので頭の片隅にでも置いておくといいかもしれませんね

K_Yagi
webサービス作ってます 主な使用言語はruby
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした