ruby-on-rails - 侨民的安全问题是什么？

Question

我听到很多关于侨民安全问题的议论，有人能总结一下他们是什么吗？

Answer 1

他们已经修补了其中的许多漏洞，但实际上整个项目几乎是书中所有基于 Web 的安全漏洞的一团糟。以下是他们的 alpha 代码发布第一天出现的问题的简要概述:

1. 他们从未验证过给定用户是否有权执行任何操作。因此，虽然用户可以转到 /image/123/delete/ 删除他们自己的图像(其 ID 恰好是 123)，但他们可以手动输入 URL /image/1/delete/ 删除 ID 为 1 的图像，即使该图像不是他们的。
2. 他们使用了 Ruby on Rails 中的快捷功能，允许您将 POST 的属性批量分配给数据库表，而无需验证这些属性是否确实在表单中。因此，虽然个人资料更新页面可能只有更改头像图像和生物描述的字段，但任何有一点知识的人都可以在将 POST 数据发送到服务器之前摆弄它，并发送像用户名这样的列/值对，密码、 session ID 等。结合第 1 点，如果您知道 URL，您可以修改任何人的数据，并且可以将任何人的私有(private)信息设置为您想要的任何内容。
3. 他们使用 MongoDB 作为后端。对于不知情的人，Mongo 使用 Javascript 来实现它的一些查询功能。他们采用原始搜索查询字符串并针对他们的 Mongo 后端执行它们，这将允许任何人发送格式良好的 Javascript 作为查询来真正地对数据库做任何他们想做的事情。

如果您对技术细节感到好奇，请随时educate yourself.