# Ruby _json pollution

{{#include ../../banners/hacktricks-training.md}}

Dies ist eine Zusammenfassung des Beitrags [https://nastystereo.com/security/rails-_json-juggling-attack.html](https://nastystereo.com/security/rails-_json-juggling-attack.html)

## Grundinformationen

Beim Senden eines Körpers werden einige Werte, die nicht hashbar sind, wie ein Array, in einen neuen Schlüssel namens `_json` eingefügt. Es ist jedoch möglich, dass ein Angreifer auch im Körper einen Wert namens `_json` mit beliebigen Werten festlegt. Wenn das Backend beispielsweise die Richtigkeit eines Parameters überprüft, dann aber auch den `_json`-Parameter verwendet, um eine Aktion auszuführen, könnte ein Autorisierungsumgehung durchgeführt werden.
```json
{
"id": 123,
"_json": [456, 789]
}
```
## Referenzen

- [https://nastystereo.com/security/rails-_json-juggling-attack.html](https://nastystereo.com/security/rails-_json-juggling-attack.html)

{{#include ../../banners/hacktricks-training.md}}