Bonjour a tous, Une question m'est venue a l'esprit aujourd'hui. Je fais une migration de rails 3 vers rails 4 et je cleane donc tous les initializers / config files. Un de mes initializers desactive le parsing du XML dans les controllers (fix pour CVE-2013-0156) et je n'ai aucune idee si cela a ete fixe dans rails 4. Aucune doc n'en parle, je suppose que oui mais je ne peux pas me permettre de ne pas etre sur.
J'ai trouve un article qui parle de tester ce bug avec le fw metasploit ( http://blog.endpoint.com/2013/01/rails-CVE-2013-0156-metasploit.html) et cela a entraine la fameuse question. Comment tester de maniere automatique la securite d'une application? J'ai trouve quelques outils qui analysent le code de maniere statique mais ce n'est pas suffisant. Je me demandais si il n'existait pas un integration metasploit <=> rspec | travis specifique pour rails, qui essaierait par exemple de defoncer mon appli avec tous les exploits connus integre dans le framework. Ou autre chose... Mais dans l'idee, un truc qui va vraiment taper sur un serveur (de test) comme un acharne pour reveler d'eventuelles failles de secu. Merci de vos retours :) -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse railsfrance@googlegroups.com Pour résilier votre abonnement envoyez un e-mail à l'adresse railsfrance-unsubscr...@googlegroups.com --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse railsfrance+unsubscr...@googlegroups.com. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
