Ruby on Rails侨民面临的安全隐患有哪些具体表现?
- 内容介绍
- 文章标签
- 相关推荐
本文共计455个文字,预计阅读时间需要2分钟。
我听到有关网络安全问题的热议,有人可以总结一下他们到底是怎么回事吗?他们已经打了许多补丁,但事实上整个项目几乎都存在基于网络的漏洞。这是从他们发布的alpha代码中发现的第一个问题。
我听到有关侨民安全问题的嗡嗡声,有人可以总结一下他们是什么吗? 他们已经打了很多补丁,但实际上整个项目都是书中几乎所有基于网络的安全漏洞.这是从他们的alpha代码发布的第一天开始的问题的快速概述:>他们从未验证过某个用户是否有权做任何事情.因此,当用户可以转到/ image / 123 /删除/删除他们自己的图像(其ID恰好是123)时,他们可以手动输入URL / image / 1 / delete /来删除图像ID为1,即使该图像不是他们的.
>他们在Ruby on Rails中使用了一个快捷方式功能,它允许您将POST的属性大量分配给数据库表,而无需验证这些属性实际上是否在表单中.因此,虽然配置文件更新页面可能只有字段来更改头像图像和生物描述,但是任何拥有一点技术诀窍的人都可以在将POST数据发送到服务器之前调整POST数据并同时发送列/值对,如用户名,密码,会话ID等.将它与点#1相结合,如果您知道URL,您可以修改任何人的数据,并且您可以将任何人的私人信息设置为您想要的任何内容.
>他们使用MongoDB作为后端.对于不知情者,Mongo使用Javascript进行一些查询功能.他们采用了原始的搜索查询字符串,只是针对他们的Mongo后端执行它们,这将允许任何人发送格式良好的Javascript作为查询,以实现他们想要的任何数据库.
如果您对技术细节感到好奇,请随意使用educate yourself.
本文共计455个文字,预计阅读时间需要2分钟。
我听到有关网络安全问题的热议,有人可以总结一下他们到底是怎么回事吗?他们已经打了许多补丁,但事实上整个项目几乎都存在基于网络的漏洞。这是从他们发布的alpha代码中发现的第一个问题。
我听到有关侨民安全问题的嗡嗡声,有人可以总结一下他们是什么吗? 他们已经打了很多补丁,但实际上整个项目都是书中几乎所有基于网络的安全漏洞.这是从他们的alpha代码发布的第一天开始的问题的快速概述:>他们从未验证过某个用户是否有权做任何事情.因此,当用户可以转到/ image / 123 /删除/删除他们自己的图像(其ID恰好是123)时,他们可以手动输入URL / image / 1 / delete /来删除图像ID为1,即使该图像不是他们的.
>他们在Ruby on Rails中使用了一个快捷方式功能,它允许您将POST的属性大量分配给数据库表,而无需验证这些属性实际上是否在表单中.因此,虽然配置文件更新页面可能只有字段来更改头像图像和生物描述,但是任何拥有一点技术诀窍的人都可以在将POST数据发送到服务器之前调整POST数据并同时发送列/值对,如用户名,密码,会话ID等.将它与点#1相结合,如果您知道URL,您可以修改任何人的数据,并且您可以将任何人的私人信息设置为您想要的任何内容.
>他们使用MongoDB作为后端.对于不知情者,Mongo使用Javascript进行一些查询功能.他们采用了原始的搜索查询字符串,只是针对他们的Mongo后端执行它们,这将允许任何人发送格式良好的Javascript作为查询,以实现他们想要的任何数据库.
如果您对技术细节感到好奇,请随意使用educate yourself.