من به یک پروژه کوچک پیوستم ، متوجه شدم که در این پروژه از چیزی مثل نشانه در ارتباط با سفر کاربر استفاده می کند. بنابراین URL چیزی شبیه به این است: https://host.com/sell/:jurneyID .
کلیه داده های وارد شده توسط کاربر در سفر با [jurneyID] همراه است.
این بدان معنی است که وقتی به https://host.com/success/:jurneyID می توانم اطلاعات کاربر مربوط به آن سفر را ببینم.
هیچ مفهومی از جلسه وجود ندارد که به این معنی باشد. هر کس می داند jurneyID می تواند به این داده ها دسترسی پیدا کند.
در تئوری jurneyID رشته به طور تصادفی بی نظیر است ، با این حال ، من هنوز این راه حل را دوست ندارم زیرا:
- رشته توکن می تواند اجباری بی رحمانه
jurneyIDبخشی از بنابراین URL را می توان از سیاههها ، تاریخچه مرورگر و غیره استخراج کرد.
من می خواهم از شما بپرسم آیا منابعی را می دانید که می تواند اثبات کند که این راه حل ایده بد است ، و آیا چنین آسیب پذیری نام خود را دارد؟
