Sfruttabilità dello scenario [chiuso]

0

Abbiamo un'applicazione nazionale che devi accedere per usare (usando le credenziali di ldap). Dopo aver effettuato l'accesso, le credenziali immesse vengono utilizzate per comunicare con l'API e il database e recuperare il lavoro assegnato all'utente. Tuttavia, quando si apre un compito, questo estrae un file da una condivisione di rete come utente attualmente connesso (a Windows, non all'applicazione). Ora il 99% delle volte, questo sarà lo stesso utente, comunque mi sembra ancora sbagliato, ma lo sviluppatore afferma che questo comportamento è di progettazione (dato che ci sono criteri per bloccare / non condividere il tuo computer), e io non posso discutere.

Qualcuno può in qualche modo sfruttare questo, o sono eccessivamente cauto?

    
posta user2678506 12.08.2017 - 20:22
fonte

1 risposta

1

Se comprendo l'installazione correttamente, da un lato si autentica l'applicazione per recuperare alcuni dati da esso e quindi, indipendentemente, si accede a una condivisione di Windows (probabilmente attivata dall'applicazione).

In tal caso, l'utente che ha effettuato l'accesso può comunque accedere ai dati senza l'applicazione. Potrebbe non sapere dove cercare i dati ma se i diritti sono impostati correttamente sulla condivisione è più un modo per nascondere a chi ha accesso che impedire a qualcun altro di accedervi .

Se le ipotesi di cui sopra sono corrette, non ci sono evidenti problemi di sicurezza con questo doppio accesso.

    
risposta data 12.08.2017 - 22:09
fonte

Leggi altre domande sui tag