이 태그가 달린 문서 1건
Rails는 규약과 안전한 기본값(CSRF 보호·Strong Parameters·ORM)을 갖추어 올바르게 쓰면 견고합니다. 하지만 사고는 운영에서 일어납니다. 3대 = (1) Strong Parameters를 과다 허용해 Mass Assignment(is_admin 등의 예상 밖 덮어쓰기) (2) 인가의 작업 부족(로그인=인증은 있지만 소유자 스코프가 없음) (3) gem(의존성)의 알려진 CVE. 더해 where로의 문자열 결합에 의한 SQLi, send/constantize 등의 위험한 동적 메서드, credentials/secret_key_base의 누출. 방어 = permit를 좁히기·인가를 명시·gem을 CVE 모니터링.