[Owasp-turkey] Güvenlik Zaafiyeti Nedir?

Uğur Yıldız yildiz.ugur at gmail.com
Sun Jul 17 08:33:58 EDT 2011


Merhaba arkadaÅŸlar?
Geçen gün bir arkadaşımla moodle lms sistemindeki yetki ayarlamaları üzerine
görüş ayrılığına düştük.
Sistemde kullanıcı grupları oluşturulabilmekte ve bu gruplara yetkiler
verilebilmekte.
Eğitmenlerin öğrenci hesaplarını sisteme yüklemeleri için oluşturmuş olduğu
"kursiyer atayan eğitmen" olarak adlandırdığı gruba kullanıcı düzenleme ve
yükleme yetkisi verilmiş durumda. (bu arada moodle'da kullanıcılarla alakalı
başka bir yetki tanımı yok)
Bu yetki ile sistemdeki tüm kullanıcıların (diğer eğitmenler ve
yöneticilerin) kullanıcı bilgileri güncellenebilmektedir. Mesela diğer
eÄŸitmenlerin ÅŸifreleri :)
Bende arkadaşa bu bir güvenlik zaafiyetidir dediğimde bana cevabı şu şekilde
oldu.
"bir zaafiyet söz konusu değil.
senin rolünü "kursiyer atayan eğitmen" olarak atadığımdan  böyle bir
yetkin var. fakat bu yetkilerin tamamını kaldırdık." (neden kaldırdığını
tahmin etmiÅŸsinizdir)
:) diÄŸer eÄŸitmenleri yetkileri devam ediyor... :)
şimdi eğitmenlere güvenerek bir sistemi yönetmek ne kadar doğru?
Böyle bir özellik bilerek kullanıldığında bu bir "güvenlik zaafiyeti"
olmuyor mu?
Fikirlerinizi merak ediyorum.
-- 
UÄŸur YILDIZ
P: yildiz.ugur at gmail.com
P: ugur at uguryildiz.net
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110717/5b7ee5ad/attachment.html 


More information about the Owasp-turkey mailing list