Il nostro fornitore di fatture pubblica le immagini della fattura tramite http e non richiede alcun tipo di autenticazione.
EX: http://example.com/companyid/image.php?id=Lhjjfkedhf_739567395
L'uso di HTTPS sarebbe un buon inizio, ma che ne è del modo in cui viene generato l'id? Sostengono che è generato casualmente e non segue alcuna sequenza, ma c'è qualche rischio in qualcuno che scrive uno script per provare a eseguire il ping di ID casuali per vedere cosa restituisce una risposta?
La prima directory è una directory aziendale, quindi qualsiasi tentativo di forza bruta consentirebbe comunque all'hacker di filtrare in base all'id dell'azienda.