我们有一个工作中的技术支持网站/数据库,用于记录我们与客户的互动。我们的技术支持人员无法创建自己的帐户。我们还在同一台服务器上使用 Mantis 作为跟踪错误的一种方式。
在技术支持站点中,我们希望有一个 Mantis 的链接,以便我们的技术支持人员可以快速输入错误报告。很快,这意味着技术支持人员在单击链接后不必登录 Mantis。
因此,我们从我们的技术支持站点调用 Mantis 中修改后的身份验证功能,以检查用户名,如果存在,则自动将用户登录到 Mantis。没有密码检查,因为我们急于处理许多更重要的事情。
这是安全风险吗?