Estoy trabajando en una aplicación web, y es posible que finalmente quiera incluir a otros en el proyecto. Tengo dos conjuntos de credenciales de GitHub: una llamada Foo que devuelve llamadas a foo.com/endpoint
, y otra llamada Foo - TEST CREDENTIALS que devuelve llamadas a foo.local/endpoint
. La idea es que puedo compartir las credenciales de prueba con otros desarrolladores, y pueden modificar su /etc/hosts
para las pruebas locales.
En general, soy una persona de confianza, pero ¿hay alguna forma en que un usuario malintencionado pueda usar estas credenciales de prueba para el mal? En mi entendimiento, tendrían que:
- Asegúrese de que el DNS para la conexión de la víctima con
foo.local
apunta a su servidor. - Asegúrese de que la víctima acceda a
foo.local
en lugar de afoo.com
. - Espero que la víctima otorgue acceso a ciegas y no note los - CREDENCIALES DE LA PRUEBA en el nombre de la aplicación en la pantalla de autorización de GitHub.
Esto me parece bastante inverosímil, así que voy a afirmar que es seguro entregar estas credenciales de prueba a los compañeros de trabajo. ¿Puede alguien demostrar que estoy equivocado al proporcionar un método de ataque más viable?