È vulnerabile consentire agli utenti di conoscere il proprio ID di altri utenti da un database?

2

Dire, ho una tabella Utenti con ID che è un numero intero. Ogni utente in qualche modo è a conoscenza del proprio id in qualche modo, ad esempio, in un url al proprio profilo è incluso l'id. O è esposto a loro in qualche altro modo, non è così. Quanto è saggio non esporlo a loro? Potrebbe essere vulnerabile per me come proprietario di un sito Web per consentire ai miei utenti di conoscere il proprio ID e quindi gli altri utenti? O dovrei invece creare o guidare come chiave primaria, o aggiungere un'altra colonna chiamata "long_id" ed esporla solo perché sarà difficile per loro indovinarla?

    
posta アレックス 22.11.2016 - 10:01
fonte

2 risposte

2

Dipende davvero da cosa puoi fare con quella conoscenza, chiediti le seguenti questioni:

  • Come utente del sito devo conoscere il mio ID per usarlo?
  • Se un utente conosce il proprio ID, cosa significa realmente?
  • Se un utente conosce qualcuno come ID, quale conoscenza o accesso lo garantisce?

Infine, se l'ID viene utilizzato all'interno di un URL che mostra i dettagli di qualcuno, cambia quell'ID e mostra i dettagli di qualcun altro? Se è così, questo è un problema di controllo degli accessi, non necessariamente un problema con la conoscenza dell'ID.

Indipendentemente dal fatto che conosca gli ID come attaccante, sarei interessato a ottenere il più basso e l'ID possibile, 1 o 0, in quanto tendono ad essere l'utente amministratore all'interno dell'applicazione.

    
risposta data 22.11.2016 - 10:17
fonte
0

Di solito sì lo è. Non si dovrebbe mai avere la necessità di passare userid tramite la stringa di query.

Dovresti utilizzare i cookie inviati dall'utente, quindi cercare il cookie nel tuo database per recuperare userid.

Quando si passa userid tramite una stringa di query, è possibile creare vulnerabilità come consentire di modificare manualmente la stringa di query ed eludere l'autorizzazione degli utenti consentendo di apportare modifiche agli account diversi dall'account utente.

    
risposta data 22.11.2016 - 10:24
fonte

Leggi altre domande sui tag