ディアスポラのセキュリティ問題について多くの話題を耳にしましたが、誰かがそれらが何であったかを要約できますか?
質問する
658 次
1 に答える
7
それ以来、それらの多くにパッチを適用していますが、実際には、プロジェクト全体が、本のほぼすべてのWebベースのセキュリティエクスプロイトの混乱でした。アルファコードリリースの初日からの問題の簡単な要約は次のとおりです。
- 彼らは、特定のユーザーが何かをする許可を持っていることを決して検証しませんでした。そのため、ユーザーは
/image/123/delete/自分の画像(IDはたまたま123)を削除することができますが、URL/image/1/delete/を手動で入力するだけで、IDが1の画像を削除できます(その画像が自分のものではない場合でも)。 - 彼らはRubyonRailsのショートカット機能を使用しており、POSTされたプロパティが実際にフォームにあることを検証せずに、それらのプロパティをデータベーステーブルに一括で割り当てることができます。したがって、プロファイル更新ページにはアバター画像と略歴の説明を変更するフィールドがあるだけかもしれませんが、少しのノウハウがあれば、サーバーに送信する前にPOSTデータをいじったり、ユーザー名などの列と値のペアを送信したりできます。パスワード、セッションIDなど。これをポイント#1と組み合わせると、URLがわかっていれば誰のデータも変更でき、誰の個人情報も好きなように設定できます。
- 彼らはバックエンドにMongoDBを使用しました。情報がない場合、Mongoはクエリ機能の一部にJavascriptを使用します。彼らは生の検索クエリ文字列を取得し、Mongoバックエンドに対して実行しました。これにより、整形式のJavascriptをクエリとして送信するすべての人が、データベースでやりたいことを実際に実行できるようになります。
技術的な詳細に興味がある場合は、遠慮なく自分自身を教育してください。
于 2010-10-05T20:58:47.257 に答える