侨民面临哪些安全问题？

Question

我听到了很多关于侨民安全问题的讨论，有人能总结一下它们是什么吗？

Answer 1

他们已经修补了其中的许多漏洞，但实际上整个项目几乎是书中所有基于网络的安全漏洞的混乱。以下是从他们的 alpha 代码发布第一天开始出现的问题的简要概述：

1. 他们从未验证给定用户是否有权执行任何操作。因此，虽然用户可以访问 /image/123/delete/ 删除自己的图像（其 ID 恰好为 123），但他们只需手动输入 URL /image /1/delete/ 删除 ID 为 1 的图像，即使该图像不是他们的。
2. 他们使用了 Ruby on Rails 中的快捷功能，该功能允许您将 POST 后的属性批量分配给数据库表，而无需验证这些属性是否确实存在于表单中。因此，虽然个人资料更新页面可能只包含用于更改头像图像和个人描述的字段，但任何具有一点专业知识的人都可以在将 POST 数据发送到服务器之前对其进行修改，并且还可以发送列/值对，例如用户名、密码、会话 ID 等。将其与第 1 点结合起来，如果您知道 URL，则可以修改任何人的数据，并且可以将任何人的私人信息设置为您想要的任何内容。
3. 他们使用 MongoDB 作为后端。对于不知情的人来说，Mongo 使用 Javascript 来实现某些查询功能。他们获取原始搜索查询字符串，然后在 Mongo 后端执行它们，这将允许任何发送格式良好的 Javascript 作为查询的人真正对数据库执行任何他们想要的操作。

如果您对技术细节感到好奇，请随时访问 自我教育。