[Ror-es] duda de seguridad rails restful auth
Miguel Michelsongs
miguelmichelson at gmail.com
Fri Aug 21 05:11:25 GMT 2009
Hola a todos , yo aqui nuevamente molestando
haciendo unas pruebas de consultas http desde un dispositivo encontré algo
curioso,
tengo las siguientes rutas
session GET
/session(.:format)
{:controller=>"sessions", :action=>"show"}
PUT
/session(.:format) {:controller=>"sessions",
:action=>"update"}
DELETE
/session(.:format) {:controller=>"sessions",
:action=>"destroy"}
POST
/session(.:format) {:controller=>"sessions",
:action=>"create"}
hice la siguiente prueba con un GET request:
dominio.com/session?login=user&password=pass
y pasó ... guau!
no se supone que la accion session / create solo es accedida por un metodo
post ? por el rollo de rest digo ...
incluso funciona con el protect_from_forgery aunque no se si para el caso
tendrá algo que ver.
Saludos
Atte.
Miguel Michelson Martinez
---------------------------------------
www.artenlinea.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.simplelogica.net/pipermail/ror-es/attachments/20090821/a32bdd49/attachment.htm
More information about the Ror-es
mailing list