1 artículo con esta etiqueta
Rails trae convenciones y valores por defecto seguros (protección CSRF, Strong Parameters, un ORM) y es sólido si se usa correctamente. Pero los incidentes vienen de la operación. Los tres grandes: (1) Strong Parameters demasiado permisivos que permiten Mass Assignment (sobrescribir is_admin, etc.), (2) autorización débil (login = autenticación, pero sin ámbito de propietario), (3) CVE conocidos de gems (dependencias). Además, SQLi por interpolación de cadenas en where, métodos dinámicos peligrosos (send/constantize) y fuga de credentials/secret_key_base. Defensas: ajustar el permit, hacer explícita la autorización, monitorear los CVE de gems.