He estado usando GUID como tokens no adivinables en varias situaciones durante algún tiempo. Encontré esta pregunta / respuesta que parece sugerir que Si bien esto está bien en algunas situaciones, no se debe hacer cuando la seguridad es una preocupación importante.
Por lo general, cuando trato de comprender una vulnerabilidad, crearé una aplicación en mi entorno de prueba que reproduce la vulnerabilidad y luego puedo explotarla para ver cómo funciona en el mundo real.
¿Puede alguien indicarme algún recurso que explique cómo se puede adivinar un GUID que se usa como un token no adivinable en un entorno controlado?