我有一个Java前端应用程序,它连接到GSA以获取搜索结果。 GSA配置为使用此应用程序前端的cookie cracker。
通常,Java应用程序可以覆盖getRemoteUser()并返回作为会话中用户的用户名。在开发中,我们可以通过此方法模拟其他用户,并在该用户中搜索Production中的结果。
从这个意义上说,它看起来像是一种安全漏洞。任何人都可以建议这是一个不好的设计,是否有任何建议的解决方案?
答案 0 :(得分:0)
当您使用cookie破解时,您相信您的应用程序写得很好并且不会试图破坏安全性。
如果最终用户可以更改标头信息,那将是安全漏洞。在我看来,如果搜索应用程序的开发人员可以冒充一个安全漏洞较少的人,而且更多的问题是与开发人员打交道。如果GSA管理员不信任开发人员,那么他们就不应该实施cookie破解作为解决方案。