如果公司在外部数据库中提供其用户ID,而不是密码,并且如果此数据库被黑客攻击,那么黑客就会更容易强制访问内部网络?
答案 0 :(得分:0)
您不应在没有屏蔽的情况下与外部应用程序共享您的用户ID。例如;
http://www.example.com/user/1/edit
http://www.example.com/user/2/edit
从外部应用程序用户将看到上面的网址。这意味着来自组织外部的任何人都能够枚举整个数据库,例如用户数量,用户ID和用户名匹配等。
您可以使用http://hashids.org。它从整数生成短的唯一字符串。通过这种方式,外部应用程序将只看到屏蔽值而不是实际ID。
http://www.example.com/user/a8sf71/edit
http://www.example.com/user/d0nd1d/edit