侨民的安全问题是什么？

我听到有关侨民安全问题的嗡嗡声,有人可以总结一下他们是什么吗？

他们已经打了很多补丁,但实际上整个项目都是书中几乎所有基于网络的安全漏洞.这是从他们的alpha代码发布的第一天开始的问题的快速概述:

他们从未验证过某个用户是否有权做任何事情.因此,虽然用户可以去/image/123/delete/删除他们自己的图像(其ID恰好是123),但他们只需手动输入URL /image/1/delete/即可删除ID为1的图像,即使该图像不是他们的图像.

他们在Ruby on Rails中使用了一个快捷方式,它允许您只是将POST的属性大量分配给数据库表而不验证那些属性实际上在表单中.因此,虽然配置文件更新页面可能只有字段来更改头像图像和生物描述,但是任何拥有一点技术诀窍的人都可以在将POST数据发送到服务器之前调整POST数据并同时发送列/值对,如用户名,密码,会话ID等.将它与点#1相结合,如果您知道URL,您可以修改任何人的数据,并且您可以将任何人的私人信息设置为您想要的任何内容.

他们使用MongoDB作为后端.对于不知情者,Mongo使用Javascript进行一些查询功能.他们采用了原始的搜索查询字符串,只是针对他们的Mongo后端执行它们,这将允许任何人发送格式良好的Javascript作为查询,以实现他们想要的任何数据库.

如果您对技术细节感到好奇,请随时自我教育.