BSON инъекция в MongoDB адаптере для Ruby
На хабре уже как то упоминалась особенность регулярок в руби — у нас ^$ значат не просто начало и конец строки, но и новую строку .
Но тогда в примерах были лишь XSS «javascript:a() http://» и я давно искал пример, когда регулярки приводят к чему-то серьезному. И вот пару дней назад, во время аудита внешних библиотек нашего клиента, наткнулся на следующий код в BSON-ruby.
def legal?(str) !!str.match(/^[0-9a-f]{24}$/i)end
Читать дальше →
Источник: Хабрахабр