在不同的php web应用之间自动登录。安全问题？

Question

我们在工作中有一个技术支持网站/数据库，用于记录我们与客户的互动。我们的技术支持人员无法创建自己的帐户。我们还在同一台服务器上使用Mantis作为跟踪bug的一种方法。

在技术支持网站内，我们希望有一个到Mantis的链接，这样我们的技术支持人员就可以快速输入错误报告。快速，这意味着技术支持人员不应该在点击链接后登录到Mantis。

因此，我们从技术支持站点调用Mantis中的一个修改后的身份验证函数，该函数检查用户名，如果存在，则自动将用户登录到Mantis。没有密码检查，因为我们有很多更重要的事情要做。

这会带来安全风险吗？

Answer 1

这有风险吗？是的，但可能有一些缓解因素。

1. 是从服务器到服务器交互执行的检查，还是客户端javascript进行调用？如果服务器到服务器，那么风险就会降低一点。
2. 是面向公众的，还是完全内部的？如果是内部的，则仅限于内部用户。
3. 如果所有的bug信息都“泄露”到了互联网上，是否会对您的雇主产生潜在的后果？这是比较难的一个。此外，必须权衡这一点与已经提供给技术人员的访问权限。
4. 最大的潜在损害是什么？换句话说，让我们假设你的一位支持技术人员被激怒了，并决定向公司系统发起攻击。

他们能做什么呢？

Mantis简单地存储错误跟踪信息。此外，如果您的服务器是每晚备份的，那么您将被限制为潜在的一天的错误。从黑客的角度来看，这几乎不值得，对公司也没有什么实际的影响。

使用的安全数量应该与它所防御的内容相称。