2

我们有一个工作中的技术支持网站/数据库,用于记录我们与客户的互动。我们的技术支持人员无法创建自己的帐户。我们还在同一台服务器上使用 Mantis 作为跟踪错误的一种方式。

在技​​术支持站点中,我们希望有一个 Mantis 的链接,以便我们的技术支持人员可以快速输入错误报告。很快,这意味着技术支持人员在单击链接后不必登录 Mantis。

因此,我们从我们的技术支持站点调用 Mantis 中修改后的身份验证功能,以检查用户名,如果存在,则自动将用户登录到 Mantis。没有密码检查,因为我们急于处理许多更重要的事情。

这是安全风险吗?

4

1 回答 1

3

这是一个风险吗?是的,但可能有缓解因素。

  1. 检查是从服务器到服务器交互还是客户端javascript进行调用?如果服务器到服务器,这会降低一点风险。

  2. 螳螂是公开面对还是完全内部?如果是内部的,那么这将范围仅限于内部用户。

  3. 如果所有的错误信息都“泄露”到互联网上,这会对您的雇主产生潜在的影响吗?这是更难的一个。此外,这必须与已经提供给技术人员的访问权进行权衡。

  4. 损坏的最大可能性是多少?换句话说,让我们假设您的一位支持技术人员很生气并决定对公司系统进行攻击。

他们能做什么?

Mantis 只存储错误跟踪信息。此外,如果您的服务器是每晚备份一次,那么您将被限制在可能破坏一天价值的错误。从黑客的角度来看几乎不值得,对公司没有真正的影响。

使用的安全量应该与它所保护的内容相称。

于 2008-12-18T21:58:02.397 回答