Halaman

Jumat, 05 Februari 2010

[shared] Directory Traversal in Rails

beberapa saat yang lalu di project yang sedang saia kerjakan, saia menyadari sebuah security hole yang bisa dibilang cukup berbahaya (untungnya sebelum terjadi hal2 yang tidak diinginkan). yang menyebabkan masalah, saia membuat sebuah page yang isinya berasal dari partial berdasarkan params, isi view-nya kurang lebih seperti ini:

# views/frontpages/show.html.erb
<h3>Title</h3>
<%= render :partial => params[:page] || "home" %>

jadi isi dari page tersebut tergantung dari params page. yang jadi masalah ketika user memasukkan suatu url seperti
http://..../frontpages/show?page=%2fadmin%2fusers%2flist
(url dapat dengan mudah dicari menggunakan dictionary attack atau sejenisnya)
maka partial yang di-load akan berasal dari halaman di admin::users.
walaupun besar kemungkinan user tidak akan dapat melihat data di halaman tersebut karena akses tidak melalui controller, tetapi hal tersebut tetap tidak seharusnya diperbolehkan. apalagi terkadang dengan alasan 'malas' atau lainnya kita melakukan pengambilan data tidak di dalam controller tetapi langsung di view atau helper dimana data tersebut digunakan (ini salah satu alasan mengapa pengambilan data harus berada di controller bukan di view)

untuk mengatasi hal tersebut saia memproses params page td sebelum digunakan di view, misalkan:

# /controllers/frontpages_controller.rb
# ...
def show
  @partial = (params[:page].blank? ||
              params[:page].try('include?', '/')) ? 
             'home' : params[:page]
end
# ...


# views/frontpages/show.html.erb
<h3>Title</h3>
<%= render :partial => @partial %>

atau lebih baik lagi dengan tidak meng-implementasi partial seperti ini dan membuat action terpisah untuk setiap page.

yah situasi di atas mungkin merupakan hal bodoh yang seharusnya tidak terjadi selama kita mengikuti konvensi dari rails, tp ada kalanya karena berbagai alasan kita melanggar konvensi dan menggunakan implementasi kita sendiri, karenanya sebaiknya kita berpikir 1000x (lebay) sebelum melakukan hal itu.

oh ya directory traversal sendiri bukan hanya dapat digunakan pada situasi seperti di atas, tetapi banyak situasi lain yang bisa dimanfaatkan dengan directory traversal ini. karena itu, berhati-hatilah, inget kata bang napi (halah..)

ok segitu aja, tadinya mao nulis lanjutan dari svn branching tapi ditunda buat next post ^_^
Diposting oleh Maysora di 4:41 PM 0 komentar
Label: ,

Rabu, 03 Februari 2010

[shared] Branching using TortoiseSVN part 1

skarang saia akan sedikit sharing tentang branching dengan tortoise svn. perlu saia beritahukan, implementasi yang saia gunakan mungkin bukan yang terbaik, karena itu kalo ada yg mempunyai implementasi lebih baik tolong beritahu saia melalui comment ^_^


Buat branch


pertama yg perlu dilakukan buat 3 folder di dalam folder project, yaitu: branches, tags dan trunk

branching -- trunk
          -- branches
          -- tags


kemudian taruh project anda di dalam folder trunk, folder trunk ini akan digunakan sebagai kode stabil yang digunakan di production server.

branching -- trunk      -- app
                        -- config
                        -- db
                        -- dll..
          -- branches
          -- tags


commit, lalu klik kanan di folder trunk, pilih menu TortoiseSVN>Branch/tag ubah To URL menjadi "../branches/staging", tambahkan message kalo perlu, dan OK.

setelah selesai update folder staging, maka staging akan ditambahkan

branching -- trunk      -- app
                        -- config
                        -- db
                        -- dll..
          -- branches   -- staging    -- app
                                      -- config
                                      -- dll..
          -- tags

folder staging ini digunakan untuk kode staging server, biasa saia gunakan untuk kode2 yg perlu ditest atau dicek oleh klien sebelum masuk production.


Merge


setelah melakukan banyak update2 di staging, dan klien menyatakan ok untuk suatu update/feature agar di-deploy ke production, kita dapat dengan mudah menggunakan fitur merge.

Perhatian! untuk mempermudah merging, ikuti aturan commit di akhir post ini..

pastikan fitur yg akan di merge sudah di commit, kemudian klik kanan di folder trunk, pilih menu TortoiseSVN>Merge, pilih "Merge a range of revisions", masukkan url staging dalam URL to merge from, dan tentukan revision dari fitur yg akan di-merge, sebaiknya gunakan show log.
dalam log pilih revision yang akan di-merge, revision yang sudah pernah di-merge akan berwarna abu2, next lalu merge
stelah selesai periksa kode yang ditambahkan, bila ada kesalahan dalam memilih revision gunakan revert pada trunk. sebaiknya jangan pernah secara langsung merubah trunk, kalau ada kesalahan dalam kode, tambahkan perbaikan di staging dan merge ke trunk.

commit dan selesai.


Tambahan


beberapa tambahan yang perlu diperhatikan:

  • Hindari meng-edit trunk secara langsung

  • Tambahkan message yang jelas dalam setiap commit di staging

  • Usahakan agar setiap update yang ditambahkan di staging selesai dalam sesedikit mungkin commit, kalau fitur yang ditambahkan cukup besar dan rumit, gunakan feature branch (akan dibahas di post berikutnya)

  • Jangan pernah menambahkan 2 fitur dalam 1 revision, pisahkan dalam revision yang berbeda, akan menyulitkan pada saat memilih revision untuk di-merge nantinya



ok segitu dulu, post berikutnya saia akan membahas feature branches dan tags
Diposting oleh Maysora di 5:31 PM 3 komentar
Label: ,

Senin, 01 Februari 2010

[shared] nested layout

sesuai dengan yang saia janjikan di post sebelumnya, skarang saia akan membahas soal nested layout.
untuk memudahkan, saia akan mengambil contoh kasus dari post saia sbelumnya, yaitu untuk membuat menu yg berbeda2 tergantung controller yg aktif.


# layouts/application.html.erb
# ...
<div class="menu">
  <%= render :partial => "main_menu" %>
</div>
<div class="content">
  <%= yield %>
</div>
# ...


diubah menjadi:


# layouts/application.html.erb
# ...
<div class="menu">
  <% begin %>
    <%= render :partial => "layouts/#{controller.controller_path}_menu" %>
  <% rescue ActionView::MissingTemplate %>
    <% begin %>
      <%= render :partial => "layouts/#{controller.controller_path.sub(/#{controller.controller_name}$/,'default_menu')}" %>
    <% rescue ActionView::MissingTemplate %>
      <%= render :partial => "main_menu" %> 
    <% end %> 
  <% end %>
</div>
<div class="content">
  <%= yield %>
</div>
# ...


kode diatas akan mencari layout menu dengan path dan nama controller yg sedang aktif, bila tidak ditemukan default_menu partial dalam path controller aktif akan digunakan, bila tidak ada juga maka main_menu sebagai default akan digunakan. contoh:
  • UsersController akan menggunakan "layouts/_users_menu" || "layouts/_default_menu" || "layouts/_main_menu"
  • Admin::UsersController akan menggunakan "layouts/admin/_users_menu" || "layouts/admin/_default_menu" || "layouts/_main_menu" 
  • Admin::HomeController akan menggunakan "layouts/admin/_home_menu" || "layouts/admin/_default_menu" || "layouts/_main_menu" 
jadi untuk menggunakan menu yang sama pada smua controller untuk admin, buat partial "layouts/admin/_default_menu" dan tentu saja bila dibutuhkan tetap dapat di override dengan "layouts/admin/_[nama_controller]_menu"

dengan menggunakan nested layout, kita cukup menggunakan hanya 1 application layout. walaupun lebih tidak flexible daripada menggunakan content_for yg dapat diatur bergantung pada action. tp menurut saia jauh lebih rapih karena mengurangi kode yg ditulis pada controller.
Diposting oleh Maysora di 11:44 AM 0 komentar
Label: ,
Langganan: Postingan (Atom)