现代 Web 应用的 NoSQL 注入
这是来自 Crater Remote Conference 的一个视频,主题是「现代 Web 应用的 NoSQL 注入」。视频中以一个 Meteor 应用为例,演示了黑客可能从哪些途径注入应用,获得未授权的信息,讲解了 Meteor 应用安全性相关的问题。
02:41 - Why security?
04:57 - What is “NoSQL Injection”?
12:25 - Grabbing all products by exploiting a publication.
17:36 - Getting all carts by exploiting a publication.
20:20 - Getting all carts through a .findOne query.
23:42 - Removing all user carts in the system.
25:26 - Modifying product prices.
29:40 - Escalating myself to admin level permissions.
34:55 - MongoDB denial of service through a .find query.
38:55 - How do we fix it?
42:30 - Why pick on MongoDB?
44:10 - Are other NoSQL databases safe?
47:40 - Q&A with Josh Owens.
最后,作者给出了一个他创建的扩展包 Check Checker (east5th:check-checker),这个扩展帮助你找到应用中没有被仔细检查的方法和发布。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2016-03-25,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
云数据库 MongoDB
腾讯云数据库 MongoDB(TencentDB for MongoDB)是腾讯云基于全球广受欢迎的 MongoDB 打造的高性能 NoSQL 数据库,100%完全兼容 MongoDB 协议,支持跨文档事务,提供稳定丰富的监控管理,弹性可扩展、自动容灾,适用于文档型数据库场景,您无需自建灾备体系及控制管理系统。
腾讯云开发者
