私たちは、顧客とのやり取りを記録するために使用する技術サポート Web サイト/データベースを運用しています。当社のテクニカル サポート担当者は、自分のアカウントを作成することはできません。また、バグを追跡する方法として、同じサーバーで Mantis を使用しています。
技術サポート サイト内に Mantis へのリンクを配置して、技術サポート担当者がバグ レポートをすばやく入力できるようにしたいと考えています。つまり、技術サポート担当者は、リンクをクリックした後に Mantis にログインする必要はありません。
そのため、テクニカル サポート サイトから Mantis 内の変更された認証関数を呼び出して、ユーザー名をチェックし、存在する場合はユーザーを自動的に Mantis にログインさせます。より多くの重要なことが起こっているので、私たちは大急ぎでしたので、パスワードチェックはありません.
これはセキュリティ上のリスクですか?
これはリスクですか?はい。ただし、緩和要因がある場合があります。
チェックはサーバー間で実行されますか?それともクライアント側の JavaScript が呼び出しを行っていますか? サーバーからサーバーへの場合、リスクは少し低くなります。
カマキリは公に直面していますか、それとも完全に内部にいますか? 内部の場合、これは範囲を内部ユーザーのみに制限します。
すべてのバグ情報がインターネットに「流出」した場合、雇用主に影響を与える可能性はありますか? これは難しいものです。また、これは、技術者にすでに提供されているアクセスと比較検討する必要があります.
損傷の最大可能性はどれくらいですか? 言い換えれば、サポート技術者の 1 人が腹を立て、会社のシステムを攻撃しようと決めたとします。
彼らは何ができるでしょうか?
Mantis は単にバグ追跡情報を保存します。さらに、サーバーが毎晩バックアップされている場合は、1 日分のバグの潜在的な改ざんに制限されます。ハッカーの観点からはほとんど価値がなく、会社にとって実質的な影響はありません。
使用するセキュリティの量は、防御しているものに見合ったものにする必要があります。