远程应用程序上使用的已知 Ruby on Rails 秘密标记
medium Nessus 插件 ID 64298
语言:
简介
远程主机上的 Ruby on Rails 应用程序重复使用秘密标记。描述
远程主机上的 Ruby on Rails 应用程序使用已知的秘密标记签名和加密 Cookie / 数据。解决方案
如果您能控制此应用程序的配置,请生成正确的秘密标记并确保其未公开共享。该秘密文件位于:web_application_root/config/initalizers/secret_token.rb
确保此值真正唯一。如果不能控制,可能有供应商提供的升级使其对每个安装唯一。
另见
http://www.nessus.org/u?e33a3010
插件详情
严重性: Medium
ID: 64298
文件名: ruby_on_rails_known_secret.nbin
版本: 1.119
类型: remote
系列: General
发布时间: 2013/1/30
最近更新时间: 2025/7/14
支持的传感器: Nessus
漏洞信息
CPE: cpe:/a:rubyonrails:ruby_on_rails
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: No exploit is required
漏洞发布日期: 2012/12/21