Immagina di avere il seguente endpoint di binari:
def configure_welcome_message
ENV['myapp_welcome_message'] = params[:welcome_message]
end
A parte il fatto che questo è un modo insignificante per impostare un messaggio di benvenuto, c'è qualcosa di intrinsecamente insicuro nell'esporre una variabile d'ambiente personalizzata a un parametro non approvato?
In questo caso non è un percorso per un eseguibile, o anche una variabile 'importante', è solo una stringa che può essere visualizzata da qualche parte. Può una persona esperta sfruttare questo endpoint per un qualche tipo di accesso alla shell remota o per modificare ulteriormente l'ENV oltre la variabile che sto impostando esplicitamente? O altre implicazioni sulla sicurezza?
Nota: riconosco che è possibile impostare il "messaggio di benvenuto" su qualcosa di fuorviante per gli utenti, ma sto parlando di sicurezza back-end.