[英]Security issue in CouchDb
我看到CouchDb
發生了一件奇怪的事情。 當我進入Futon
頁面時,我看到需要登錄。 否則,如果我嘗試更改某些view
功能,則會收到錯誤消息“ Error: anathorized
。 當我登錄時,該錯誤消失了。 因此,這似乎還可以。
不好的是,當我嘗試使用curl
調用某些view
而不提供user
和password
,我沒有收到任何錯誤消息,但得到了一些結果。 我這樣做是這樣的:
curl -XGET 'http://127.0.0.1:5984/db/_design/query/_view/delete/?key="object_1_"'
該view
^^^應該返回一長串數據。 實際上是26行。 這就是我登錄時在Futon中看到的內容。但是由於curl
命令,我得到了:
{"total_rows":26,"offset":25,"rows":[{"id":"...","key":"object_1_","value":"..."}]}
因此,如您所見,我得到一行數據。 我有幾個問題。 為什么在需要時CouchDb
能夠在不提供user
和password
情況下進行自身查詢? 為何返回如此奇怪的結果-total_rows = 26,但實際上只有一行。
PS。 Ubuntu 15.04,CouchDb 1.6.0
編輯
如果我這樣提供用戶名和密碼:
curl 'http://user:password@....similar'
然后我仍然用一行數據得到這個奇怪的結果。
您沒有將數據庫限制為任何管理員,admin_roles,用戶或user_roles-因此ANYBODY有權訪問該數據庫。 這是默認值,在文檔中有說明。
為什么視圖確實返回“奇怪的結果”確實取決於您的視圖和查詢。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.