1 статья с этим тегом
Rails поставляется с соглашениями и безопасными значениями по умолчанию (защита от CSRF, Strong Parameters, ORM) и надёжен при корректном использовании. Но инциденты приходят из эксплуатации. Большая тройка: (1) слишком широкие Strong Parameters, допускающие Mass Assignment (перезапись is_admin и т. п.), (2) слабая авторизация (вход = аутентификация, но нет области владельца), (3) известные CVE gem'ов (зависимостей). Плюс SQLi через интерполяцию строк в where, опасные динамические методы (send/constantize) и утечка credentials/secret_key_base. Защита: сузить permit, сделать авторизацию явной, мониторить CVE gem'ов.