前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >现代 Web 应用的 NoSQL 注入

现代 Web 应用的 NoSQL 注入

作者头像
时见疏星
发布2018-06-01 11:13:12
2770
发布2018-06-01 11:13:12
举报
文章被收录于专栏:星流全栈

这是来自 Crater Remote Conference 的一个视频,主题是「现代 Web 应用的 NoSQL 注入」。视频中以一个 Meteor 应用为例,演示了黑客可能从哪些途径注入应用,获得未授权的信息,讲解了 Meteor 应用安全性相关的问题。

视频内容

02:41 - Why security? 04:57 - What is “NoSQL Injection”? 12:25 - Grabbing all products by exploiting a publication. 17:36 - Getting all carts by exploiting a publication. 20:20 - Getting all carts through a .findOne query. 23:42 - Removing all user carts in the system. 25:26 - Modifying product prices. 29:40 - Escalating myself to admin level permissions. 34:55 - MongoDB denial of service through a .find query. 38:55 - How do we fix it? 42:30 - Why pick on MongoDB? 44:10 - Are other NoSQL databases safe? 47:40 - Q&A with Josh Owens.

最后,作者给出了一个他创建的扩展包 Check Checker (east5th:check-checker),这个扩展帮助你找到应用中没有被仔细检查的方法和发布。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2016-03-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 星流全栈 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云数据库 MongoDB
腾讯云数据库 MongoDB(TencentDB for MongoDB)是腾讯云基于全球广受欢迎的 MongoDB 打造的高性能 NoSQL 数据库,100%完全兼容 MongoDB 协议,支持跨文档事务,提供稳定丰富的监控管理,弹性可扩展、自动容灾,适用于文档型数据库场景,您无需自建灾备体系及控制管理系统。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档