在單獨的php web應用程序之間自動登錄。安全問題？

Question

我們有一個技術支持網站/數據庫，用於記錄我們與客戶的互動。我們的技術支持人員無法創建自己的帳戶。 我們也在同一臺服務器上使用Mantis來跟蹤錯誤。

在技術支持網站內部，我們希望鏈接到Mantis，以便我們的技術支持人員可以快速輸入錯誤報告。很快，這意味着技術支持人員在點擊鏈接後不需要登錄Mantis。

所以我們從我們的技術支持站點調用Mantis中的修改後的認證函數來檢查用戶名，以及是否存在自動將用戶登錄到Mantis中。沒有密碼檢查，因爲我們正處在一個很重要的事情上。

這是一個安全隱患？

Answer 1

這是一個冒險嗎？是的，但可能有緩解因素。

1. 從服務器到服務器交互執行檢查還是客戶端JavaScript進行調用？如果服務器到服務器，則會降低風險。

2. 螳螂公開面對或完全內部？如果是內部的，那麼這僅限於內部用戶的範圍。

3. 如果所有的錯誤信息都「泄露」到互聯網上，那麼這是否對您的僱主有潛在的後果？這是更難的一個。此外，必須對已經提供給技術人員的訪問權限進行權衡。

4. 最大的潛在損害是什麼？換句話說，讓我們假設你的一個支持技術人員很生氣，並決定對公司系統進行一次攻擊。

他們能做什麼？

螳螂只是存儲錯誤跟蹤信息。此外，如果您的服務器每晚備份一次，那麼您僅限於潛在的價值一天的缺陷。從黑客的角度來看並不值得，對公司也沒有真正的影響。

安全使用的數量應與其所捍衛的數量相稱。