[Owasp-turkey] Güvenlik Zaafiyeti Nedir?

Bedirhan Urgun bedirhanurgun at gmail.com
Mon Jul 18 03:04:21 EDT 2011


merhaba Ugur,
Sistemdeki yetkilerden biri butun kullanicilarin bilgilerini
guncelleyebiliyor. Ve bu yetki herhangi bir kullanici grubuna verilebiliyor.
Bu haliyle pek guvenli bence. Yani daha granuler bir yetki tanimli olmali,
yani mesela "butun kursiyer bilgilerini guncelleme", "butun egitmen
bilgilerini guncelleme", "herkesin bilgilerini guncelleme" yetkileri gibi.

kolay gelsin.

17 Temmuz 2011 15:33 tarihinde Uğur Yıldız <yildiz.ugur at gmail.com> yazdı:

> Merhaba arkadaÅŸlar?
> Geçen gün bir arkadaşımla moodle lms sistemindeki yetki ayarlamaları
> üzerine görüş ayrılığına düştük.
> Sistemde kullanıcı grupları oluşturulabilmekte ve bu gruplara yetkiler
> verilebilmekte.
> Eğitmenlerin öğrenci hesaplarını sisteme yüklemeleri için oluşturmuş olduğu
> "kursiyer atayan eğitmen" olarak adlandırdığı gruba kullanıcı düzenleme ve
> yükleme yetkisi verilmiş durumda. (bu arada moodle'da kullanıcılarla alakalı
> başka bir yetki tanımı yok)
> Bu yetki ile sistemdeki tüm kullanıcıların (diğer eğitmenler ve
> yöneticilerin) kullanıcı bilgileri güncellenebilmektedir. Mesela diğer
> eÄŸitmenlerin ÅŸifreleri :)
> Bende arkadaşa bu bir güvenlik zaafiyetidir dediğimde bana cevabı şu
> ÅŸekilde oldu.
> "bir zaafiyet söz konusu değil.
> senin rolünü "kursiyer atayan eğitmen" olarak atadığımdan  böyle bir
> yetkin var. fakat bu yetkilerin tamamını kaldırdık." (neden kaldırdığını
> tahmin etmiÅŸsinizdir)
> :) diÄŸer eÄŸitmenleri yetkileri devam ediyor... :)
> şimdi eğitmenlere güvenerek bir sistemi yönetmek ne kadar doğru?
> Böyle bir özellik bilerek kullanıldığında bu bir "güvenlik zaafiyeti"
> olmuyor mu?
> Fikirlerinizi merak ediyorum.
> --
> UÄŸur YILDIZ
> P: yildiz.ugur at gmail.com
> P: ugur at uguryildiz.net
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110718/2632d318/attachment.html 


More information about the Owasp-turkey mailing list