Hacking session in rails app [Nguy cơ mất an toàn khi để lộ Secret Key Base]

Ngày đầu khi mới làm việc với rails, mình tự hỏi file secrets.yml được gen ra khi tạo mới rails app, với cặp key: value với key là secret_key_base chứa trong nó, có ý nghĩa gì mà lại được cảnh báo là "Make sure the secrets in this file are kept private if you"re sharing your code publicly.". Sau này qua tìm hiểu mới nhận ra, chúng ta sẽ vô tình tạo ra lỗ hổng về bảo mật, cũng như tạo điều kiện không thể thuận lợi hơn cho các hacker mũ đen có thể chiếm quyền điều khiển, đánh cắp thông tin từ hệ thống của mình,... nếu chúng ta để lộ thông tin về Secret Key Base. Trong bài viết này, mình sẽ minh họa cách khai thác Secret Key Base để hack vào một hệ thống demo