我听到有关侨民安全问题的嗡嗡声,有人可以总结一下他们是什么吗?
解决方法
他们已经打了很多补丁,但实际上整个项目都是书中几乎所有基于网络的安全漏洞.这是从他们的alpha代码发布的第一天开始的问题的快速概述:
>他们从未验证过某个用户是否有权做任何事情.因此,当用户可以转到/ image / 123 /删除/删除他们自己的图像(其ID恰好是123)时,他们可以手动输入URL / image / 1 / delete /来删除图像ID为1,即使该图像不是他们的.
>他们在Ruby on Rails中使用了一个快捷方式功能,它允许您将POST的属性大量分配给数据库表,而无需验证这些属性实际上是否在表单中.因此,虽然配置文件更新页面可能只有字段来更改头像图像和生物描述,但是任何拥有一点技术诀窍的人都可以在将POST数据发送到服务器之前调整POST数据并同时发送列/值对,如用户名,密码,会话ID等.将它与点#1相结合,如果您知道URL,您可以修改任何人的数据,并且您可以将任何人的私人信息设置为您想要的任何内容.
>他们使用MongoDB作为后端.对于不知情者,Mongo使用Javascript进行一些查询功能.他们采用了原始的搜索查询字符串,只是针对他们的Mongo后端执行它们,这将允许任何人发送格式良好的Javascript作为查询,以实现他们想要的任何数据库.
如果您对技术细节感到好奇,请随意使用educate yourself.