开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何将用户创建公开,但在CouchDB中读取访问权限？

将用户创建为公开，但在CouchDB中仅允许读取访问权限，可以通过以下步骤实现：

创建用户：在CouchDB中创建一个新用户，使用以下命令：

curl -X PUT http://localhost:5984/_users/org.couchdb.user:username -d '{"name": "username", "password": "password", "roles": [], "type": "user"}' -H "Content-Type: application/json"

将username和password替换为实际的用户名和密码。

创建数据库：创建一个新的数据库，用于存储用户可访问的文档。

curl -X PUT http://localhost:5984/mydatabase

设置数据库权限：为用户设置读取权限，但不允许写入或修改数据库。

curl -X PUT http://localhost:5984/mydatabase/_security -d '{"admins": {"names": [], "roles": []}, "members": {"names": "username", "roles": []}}' -H "Content-Type: application/json"

将username替换为实际的用户名。

现在，该用户可以访问数据库并读取文档，但不能创建、修改或删除文档。这样，您就可以实现在CouchDB中将用户创建为公开，但仅允许读取访问权限。

推荐的腾讯云相关产品：

腾讯云CVM：虚拟主机，可以部署CouchDB。
腾讯云CDB for MySQL：关系型数据库，可以用于存储用户信息和权限。
腾讯云COS：对象存储服务，可以用于存储用户上传的文件。

腾讯云产品介绍链接地址：

腾讯云CVM：https://cloud.tencent.com/product/cvm
腾讯云CDB for MySQL：https://cloud.tencent.com/product/cdb-mysql
腾讯云COS：https://cloud.tencent.com/product/cos

相关搜索:创建可在Laravel 5.8中公开访问的用户配置文件表在django管理中创建特定于用户的表单访问权限/验证在Dynamics CRM中为非许可用户编辑/创建访问权限如何将云firestore中的数据访问权限授予android中的另一个新增用户？无法在普通用户的自定义模块中创建记录(只能由管理员访问权限创建)如何创建在数据库中具有ReadOnly访问权限但对数据库中的架构具有所有权限的用户？在docker中启动keycloak时，出现“您需要本地访问权限才能创建初始管理员用户”错误有没有办法在订阅范围内授予用户所有者角色，但拒绝/读取不是由他创建的资源组的访问权限？云计算太极股份云计算搜索引擎

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何在Ubuntu 14.04上安装CouchDB和Futon

虽然在开发过程中这很好（虽然不可取），但在生产中可能存在安全风险。安装CouchDB时，它会创建一个用户和名为couchdb的组。...在本节中，我们将CouchDB文件的所有权和权限更改为couchdb用户和组。更改所有权控制什么 CouchDB的进程可以访问和更改权限控制谁可以访问CouchDB的文件和目录。.../usr/lib/couchdb，/usr/share/couchdb，/etc/couchdb目录和/usr/bin/couchdb可执行文件的权限，使得CouchDB的用户和CouchDB的组具有完全访问权限...这意味着只有具有SSH登录服务器的用户才能访问Futon控制面板。要安全地连接到CouchDB，而不公开，可以从本地端口5984到远程服务器的端口5984创建SSH隧道。...在创建管理员用户之前，所有用户都可以使用管理权限访问CouchDB（尽管他们首先需要SSH访问服务器）。为CouchDB创建管理员帐户是一种很好的做法，可以防止意外或未经授权的数据丢失。

1.6K1 0

我慌了，成千上万套未加验证保护的数据库暴露于互联网

为了解互联网上公开的数据库安全现状，RedHunt 实验室选择了 8 种数据库作为研究对象，具体包括： MongoDB ElasticSearch Redis Memcached Apache CouchDB...Apache Cassandra RethinkDB Hadoop HBase 同时，他们还创建了一款扫描工具，力求以理想的速度与准确性覆盖整个互联网，同时避免触碰到排除清单中的对象。...尽管说明文档明确提到“除网络中的受信客户端外，其他各方均不应有权访问 Redis 端口”，但我们仍在互联网上发现了大量 Redis 数据库。...其要求我们在初始化数据库之前设置管理账户，因此能够大大降低风险水平——结合实际观察，网上公开暴露的大部分 CouchDB 数据库使用的版本也确实为 3.0 以下。...Hadoop 还附带一套 WebUI 管理界面，允许外来者轻松访问甚至对文件系统（HDFS）进行全面的读取 / 写入操作。

4071 0

【数据库架构】Apache Couchdb 最终一致性

如果多个客户端要访问一个表，则第一个客户端将获得锁，从而使其他所有人都在等待。当第一个客户的请求得到处理时，下一个客户将获得访问权限，而其他人都将等待，依此类推。...MVCC意味着没有锁定 CouchDB中的文档已经过版本控制，就像在常规版本控制系统（例如Subversion）中一样。如果要更改文档中的值，请创建该文档的全新版本并将其保存在旧版本上。...考虑一组想要访问文档的请求。第一个请求读取文档。在处理过程中，第二个请求更改了文档。由于第二个请求包含文档的全新版本，因此CouchDB可以简单地将其附加到数据库，而不必等待读取请求完成。...当第三个请求要读取相同的文档时，CouchDB将其指向刚刚编写的新版本。在整个过程中，第一个请求可能仍在读取原始版本。读取请求在请求开始时始终会看到您数据库的最新快照。...让我们检查Songbird备份应用程序的工作流程，首先是作为用户从单台计算机备份，然后使用Songbird在多台计算机之间同步播放列表。我们将看到文档修订如何将本来很棘手的问题变成可以解决的问题。

1.3K3 0

在 Ubuntu 上如何添加 Apt 软件源

一个 APT 软件源是一个网络服务器或者一个本地目录，它包含 deb 软件包和可以被 APT 工具读取的元文件。...大部分源提供了一个用于授权下载软件公开的 key，需要下载并且导入。想要添加或者移除一个软件源，你需要以 root 或者 sudo 权限用户登录。...当添加一个 PPA 软件源时，add-apt-repository命令在/etc/apt/sources.list.d/目录下创建一个新文件。...另外一个选项就是在/etc/apt/sources.list.d/目录下创建一个新的软件源文件。当手动配置软件源时，你仍然需要手动导入公开源 key 到我们的系统。...在安装最近添加的软件源中的软件包时，你必须更新软件包索引： sudo apt update 一旦软件包索引更新完成，你可以从最近添加的软件源中安装软件包： sudo apt install couchdb

22.1K3 1

「文档数据库之争」MongoDB和CouchDB的比较

CouchDB的常见特性 CouchDB服务器托管命名数据库，命名数据库存储数据库中唯一命名的文档，CouchDB提供一个RESTful HTTP API，用于读取和更新(添加、编辑、删除)数据库文档...CouchDB提供了一个基于浏览器的GUI来处理数据、权限和配置。...CouchDB提供数据库级安全性，其中每个数据库的权限被划分为读者和管理员。允许读取器对CouchDB数据库进行读写。...CouchDB使用身份验证验证插入到数据库中的数据，以验证创建者和登录会话id是否相同。 ? CouchDB架构 REST API用于编写和查询数据。它还提供文档读取、添加、编辑和删除功能。...MongoDB采用Map/Reduce (JavaScript)创建基于集合+对象的查询语言。对于有SQL知识的用户，MongoDB更容易学习，因为它更接近语法。

6.4K1 0

Web漏洞挖掘班作业 | 轻松把玩越权访问漏洞

越权漏洞常见位置 1.修改、重置、找回其他账户密码 2.查看、修改其他账户未公开的信息，例如个人资料、文件、数据、程序等 3.与账户关联的权限操作 0x02 越权访问漏洞的两大分类越权漏洞主要分为水平越权和垂直越权两大类...水平越权：同级别（权限）的用户或者同一角色的不同用户之间，可以越权访问、修改或者删除的非法操作。如果出现此漏洞，那么将可能会造成大批量数据泄露，严重的甚至会造成用户信息被恶意篡改。...垂直越权:指使用权限低的用户可以访问权限较高的用户垂直越权危害： • 向上越权：普通用户可以执行管理员权限，比如发布文章、删除文章等操作。...• 向下越权：一个高级用户可以访问低级用户信息（暴露用户隐例如同一个公司的职员A和经理B。显然他们在公司后台管理系统中账号的管理权限不同。...解压完毕后利用浏览器访问网站地址进入安装目录创建普通用户进行登录登陆后进入修改基本信息的页面，随便修改一个密码，点击提交信息的同时上传抓包修改useid为管理员id 成功修改管理员账号密码为123456

1.8K1 0

搭建自己的 crash 监控系统

来访问CouchDB（默认只能通关127.0.0.1来访问）。.../local.ini ---- 现在，你就可以通过浏览器来访问CouchDB了，网页服务被称为Futon—CouchDB的界面后端。...如果你有多个项目要监控，多安装几个acro-storage 离成功很近了，下一步，我们要创建用户，打开浏览器，转到这个网址： http://:5984/acralyzer...创建后，拷贝生成的信息到记事本，后面有用 ? 然后去数据库acra-myapp，给这个帐号加上read权限 ? ---- 4....最后一步，不要忘记在AndroidManifest.xml中添加网络权限测试

1.2K3 0

Couchdb命令执行

其HTTP Server默认开启时没有进行验证，而且绑定在0.0.0.0，所有用户均可通过API访问导致未授权访问。...使用nmap扫描可发现couchdb的banner信息 image.png 执行命令需要使用admin权限，如果数据库存在未授权则可直接利用，若有账号认证则需要想办法获取admin的密码，当然可通过...burpsuit去爆破/_utils/，也可以通过metasploit中的auxiliary/scanner/couchdb/couchdb_login模块直接进行爆破 CouchDB提供了一个可视化界面工具...image.png 执行反弹脚本 image.png getshell，读取flag image.png 同样你也可以不用登录获取Cookie，直接在curl请求中带入账号密码也是可以的...CouchDB未授权访问漏洞导致系统命令执行

2.5K5 0

Web攻防作业 | 越权访问漏洞全解析

⑤、平台验证权限配置错误：一些程序会通过控件来限制用户的访问。（例如后台地址，普通用户不属于管理员组，则不能访问。但当配置平台或配置控件错误时，就会出现越权访问。）...④、使用burp抓包流量并修改数据尝试创建用户该数据包创建一个用户，字段type的值对应用户，字段name的值代表账号，字段roles的值代表用户权限，字段password的值对应密码。...创建admin权限用户提示只有admin才能进行设置。...⑤、利用漏洞进行创建用户字段roles的值代表用户权限，使用两个值进行设置，在JavaScript在检测时，检测的值为第二个[]，代表无权限，系统判定为安全。...在CouchDB的Erlang部分实现身份验证和授权时，检测的值为"roles": ["_admin"]，代表为管理员权限，故创建具有管理员权限账户。

2.3K2 0

如何在 CentOS 7 上安装 Couchdb

Apache CouchDB 是一个由 Apache 软件基金会开发的免费并且开源的 NoSQL 数据库。 CouchDB 服务器将它的数据以 JSON 结构的文档形式存储在数据库中。...它包括一个 RESTful HTTP API，允许你通过 API 来读取，创建，编辑，删除数据库文档。在这个指南中，我们将会讲解如何在 CentOS 7 上安装最新版的 CouchDB 数据库。...一、前提条件想要在你的 CentOS 系统上安装新的软件包，你需要以拥有 sudo 权限的用户身份登录系统。二、启用 CouchDB 软件源软件源依赖EPEL 软件源。.../bintray-apache-couchdb-rpm.repo 粘贴下面的内容到文件中： [bintray--apache-couchdb-rpm] name=bintray--apache-couchdb-rpm...服务： sudo systemctl start couchdb sudo systemctl enable couchdb 默认情况下，CouchDB 仅仅监听本地 localhost，并且没有创建

1.5K2 0

WIKI | 未授权访问的tips

jenkins可以对每个用户分配不同的权限，如Overall/RunScripts或者Job/Configure权限某些版本匿名用户可以访问asynchPeople 可爆破密码（通常很多密码跟用户名一样或者是其他弱口令...匿名用户是没有 Build 权限，即 Job 的页面中是没有立即构建(Build Now) 按钮，所以这里无法通过点击立即构建来触发命令的执行。 4....它以Key-Value（键值对）形式将数据存储在内存中，这些数据通常是应用读取频繁的。正因为内存中数据的读取远远大于硬盘，因此可以用来加速应用的访问。 1.扫描探测 ? ##!...它极大地精简化程序员进行分布式计算时所需的操作，用户大概通过如下步骤在hadoop中实现分布式处理：用户创建一个处理键值的map函数产生了一套中间键/值 reduce函数合并中间值并把他们关联到对应的键...CouchDB允许用户指定一个二进制程序或者脚本，与CouchDB进行数据交互和处理，query_server在配置文件local.ini中的格式： [query_servers] LANGUAGE =

3.8K4 0

【安全加固】常见未授权访问漏洞风险及修复建议

ElasticSearch 未授权访问MongoDB 未授权访问Hadoop 未授权访问Kibana 未授权访问CouchDB 未授权访问MySQL 弱口令SQL Server 弱口令PostgreSQL...：开启MongoDB服务时不添加任何参数，默认无权限验证，登录的用户可以通过默认端口无需密码对数据库任意操作（增、删、改、查高危动作），且可以远程访问数据库。...kibana登录的账号密码，这里可以复用ElasticSearch创建的账号密码，也可以重新创建一个。...注：修改后只有本机才能访问CouchDB。...相关漏洞细节与PoC已被公开披露，且已有外部企业被外部攻击者利用。检测方式：用户可通过查看当前Confluence版本是否在受影响范围内，对当前服务是否受此漏洞影响进行排查。

25K18 5

CVE-2017-12635 Apache CouchDB 特权提升漏洞分析

是的，关于这个RCE并不是CouchDB的一个新问题，只是在此次这个特权提升漏洞出来的同时才给了RCE漏洞CVE号，因为之前RCE只有在CouchDB管理员密码泄露或未授权访问时才能进行，本文将着重分析特权提升...但是在CouchDB中get_value函数只返回了jiffy所解析到了第一个键的值。...image.png 对于这样的差异性就会产生很大的安全风险，接着看一下CouchDB中是如何进行用户身份鉴权的 image.png 其中可以看到关于roles中定义了普通用户是无法设置管理员角色roles...的，但管理员可以任意定义其他用户，我们再来看以下这段包含文件代码 image.png 这里的权限判断很简单，只要roles长度大于0就返回forbidden，只有管理员才能进行修改，言外之意就是只要...解析的差异性，我们就可以构造roles重复键使得javascript解析阶段roles为空来绕过上述鉴权，并在导入document，Erlang进行解析时roles为_admin来创建管理员用户达到特权提升的目的

1.9K6 0

未授权访问漏洞总结

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。...选择 new -> terminal 即可创建一个控制台：直接执行任意命令： 3.漏洞修复开启身份验证，防止未经授权用户访问；访问控制策略，限制IP访问，绑定固定IP； 0x14 Kibana...solr未授权访问的危害很大，轻则可查询所有数据库信息，重则可读取系统任意文件，甚至getshell。...在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。...，ZooKeeper 默认开启在 2181 端口在未进行任何访问控制的情况下攻击者可通过执行 envi 命令获得系统大量的敏感信息包括系统名称Java 环境，任意用户在网络可达的情况下进行为未授权访问并读取数据甚至

8.9K11 1

区块链和虚拟加密币疯狂炒作天鉴态势感知破解“挖矿木马”谜案

通过态势感知平台捕获的攻击行为发现，该事件是攻击者利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。...1.利用Couchdb权限绕过漏洞，创建管理员帐户wooyun1： ? 2.利用Couchdb任意命令执行漏洞，Wegt从服务器下载5.sh，保存到/tmp/5.sh： ?...对以上威胁数据进行分析，确认这是一起利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序的事件。...第一步：创建管理员因为任意命令执行漏洞需要登录用户方可触发，所以攻击者先利用Couchdb权限绕过漏洞(CVE-2017-12635)先增加一个管理员用户，主要操作如下： ?...访问http://**.**.**.**:5984/_utils/，可以看到已经存在用户名为wooyun1账号： ? 第二步：执行任意命令利用任意命令执行漏洞执行的主要操作如下： ?

9313 0

Fabric基础架构原理(1) | 赠书活动

Fabric 克服了比特币等公有链项目的缺陷，如吞吐量低、交易公开无隐私性、无最终确定性以及共识算法低效等问题，使得用户能够方便地开发商业应用。...用户通过不同的客户端使用 Fabric 系统的功能。网络节点（Peer）是区块链去中心化网络中的对等节点，按照功能主要分为背书节点（Endorser）和确认节点（Committer）。...CA 节点主要给Fabric网络中的成员提供基于数字证书的身份信息，可以生成或取消成员的身份证书（certificate）。在成员身份明确的基础上，Fabric可以实现权限控制的管理。...链码执行交易的时候需要读取账本的当前状态，从状态数据库可以迅速获取键值的最新状态。...如果没有状态数据库，要获得某个键值时，需要遍历整个区块链中和该键值相关的交易，效率非常低，因此，读取状态数据库可以认为是快速定位和访问某个键值的方法。

7562 0

将 Python 用于云和大数据分析

请继续阅读以了解如何将 Python 用于云和大数据分析。根据国际统计报告，WhatsApp 每天有大约100万的新用户注册和7亿的活跃用户。...执行后，一个名为 bseindex.out 的新文件将被创建并且每一秒的印度孟买指数数据将被存储在文件中。...CouchDB 的客户端库 couchdb.mapping：这个模块提供了 CouchDB 中 JSON 文档和 Python 对象之间的高级映射 couchdb.view：为用户提供操作 CouchDB...中预定义视图的接口 >>> import couchdb >>> couch = couchdb.Server() 上面的代码创建 server 对象。...使用 CouchDBKit CouchDBKit 的目标是为 Python 应用程序提供专用框架来管理和访问 CouchDB。

3.3K9 0

Src挖掘技巧分享 | 谈谈业务逻辑漏洞

• 修复方法：每次登陆成功之后重新生成session，sessionID闲置过久时，进行重置sessionID 案例-益云公益广告越权修改漏洞用户A创建一个广告，记住id为420 用户B也创建个广告...越权漏洞常见位置修改、重置、找回其他账户密码查看、修改其他账户未公开的信息，例如个人资料、文件、数据、程序等与账户关联的权限操作 0x02 越权访问漏洞的两大分类越权漏洞主要分为水平越权和垂直越权两大类...垂直越权:指使用权限低的用户可以访问权限较高的用户垂直越权危害： • 向上越权：普通用户可以执行管理员权限，比如发布文章、删除文章等操作。...• 向下越权：一个高级用户可以访问低级用户信息（暴露用户隐例如同一个公司的职员A和经理B。显然他们在公司后台管理系统中账号的管理权限不同。...解压完毕后利用浏览器访问网站地址进入安装目录创建普通用户进行登录登陆后进入修改基本信息的页面，随便修改一个密码，点击提交信息的同时上传抓包修改useid为管理员id 成功修改管理员账号密码为

2.5K2 0

Couchdb权限绕过和任意命令执行植入挖矿程序入侵分析

权限绕过漏洞的攻击行为，攻击者通过创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。...Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。...这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。...事件分析 1.创建管理员因为任意命令执行漏洞需要登录用户方可触发，所以先利用CVE-2017-12635先增加一个管理员用户，主要操作如下： ?...发送包含两个roles的数据包，即可绕过限制，成功创建管理员，账户密码均为：wooyun1.访问http://**.213.63.***:5984/_utils/，可以看到已经存在用户名为wooyun1

1.1K3 0

揭秘：黑客利用Couchdb数据库中漏洞植入挖矿程序

事件概述我们捕获了利用Couchdb权限绕过漏洞的攻击行为，攻击者通过创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。...Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。...这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。...事件分析 1.创建管理员因为任意命令执行漏洞需要登录用户方可触发，所以先利用CVE-2017-12635先增加一个管理员用户，主要操作如下： ?...发送包含两个roles的数据包，即可绕过限制，成功创建管理员，账户密码均为：wooyun1.访问http://**.213.63.***:5984/_utils/，可以看到已经存在用户名为wooyun1

7595 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭