他们已修补其中许多内容,但实际上整个项目几乎是本书中基于网络的安全漏洞。以下是他们的alpha代码发布第一天的问题的快速概述:
- 他们从未验证过某个用户是否有权做任何事情。因此,虽然用户可以转到
/image/123/delete/删除他们自己的图像(其ID恰好是123),但他们只需手动输入URL /image/1/delete/即可删除ID为1的图像,即使那张照片不是他们的照片。
- 他们在Ruby on Rails中使用了一个快捷方式功能,它允许您将POST的属性大量分配给数据库表,而无需验证这些属性实际上是否在表单中。因此,虽然配置文件更新页面可能只有字段来更改头像图像和生物描述,但是任何拥有一点技术诀窍的人都可以在将POST数据发送到服务器之前调整POST数据并同时发送列/值对,如用户名,密码,会话ID等。将它与点#1相结合,如果你知道URL,你可以修改任何人的数据,你可以将任何人的私人信息设置为你想要的任何内容。
- 他们使用MongoDB作为后端。对于不知情者,Mongo使用Javascript进行一些查询功能。他们使用原始搜索查询字符串,只是针对他们的Mongo后端执行它们,这将允许任何人发送格式良好的Javascript作为查询,以便他们真正做任何他们想要的数据库。
如果您对技术细节感到好奇,请随意educate yourself.