1 artigo com esta tag
O Rails entrega convenções e padrões seguros (proteção CSRF, Strong Parameters, um ORM) e é sólido quando usado corretamente. Mas os incidentes vêm da operação. Os três grandes: (1) Strong Parameters permissivo demais permitindo Mass Assignment (sobrescrevendo is_admin, etc.), (2) autorização rasa (login = autenticação, mas sem escopo de proprietário), (3) CVEs conhecidos de gems (dependências). Além de SQLi via interpolação de string em where, métodos dinâmicos perigosos (send/constantize) e credentials/secret_key_base vazados. Defesas: aperte o permit, torne a autorização explícita, monitore CVEs de gems.