在单独的php web应用程序之间自动登录。安全问题？

Question

我们有一个技术支持网站/数据库，用于记录我们与客户的互动。我们的技术支持人员无法创建自己的帐户。 我们也在同一台服务器上使用Mantis来跟踪错误。

在技术支持网站内部，我们希望链接到Mantis，以便我们的技术支持人员可以快速输入错误报告。很快，这意味着技术支持人员在点击链接后不需要登录Mantis。

所以我们从我们的技术支持站点调用Mantis中的修改后的认证函数来检查用户名，以及是否存在自动将用户登录到Mantis中。没有密码检查，因为我们正处在一个很重要的事情上。

这是一个安全隐患？

Answer 1

这是一个冒险吗？是的，但可能有缓解因素。

1. 从服务器到服务器交互执行检查还是客户端JavaScript进行调用？如果服务器到服务器，则会降低风险。

2. 螳螂公开面对或完全内部？如果是内部的，那么这仅限于内部用户的范围。

3. 如果所有的错误信息都“泄露”到互联网上，那么这是否对您的雇主有潜在的后果？这是更难的一个。此外，必须对已经提供给技术人员的访问权限进行权衡。

4. 最大的潜在损害是什么？换句话说，让我们假设你的一个支持技术人员很生气，并决定对公司系统进行一次攻击。

他们能做什么？

螳螂只是存储错误跟踪信息。此外，如果您的服务器每晚备份一次，那么您仅限于潜在的价值一天的缺陷。从黑客的角度来看并不值得，对公司也没有真正的影响。

安全使用的数量应与其所捍卫的数量相称。