[Owasp-turkey] Güvenlik Zaafiyeti Nedir?

Bedirhan Urgun bedirhanurgun at gmail.com
Mon Jul 18 03:52:58 EDT 2011


pek guvenlik "degil" bence, demek istemistim.

18 Temmuz 2011 10:04 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:

> merhaba Ugur,
> Sistemdeki yetkilerden biri butun kullanicilarin bilgilerini
> guncelleyebiliyor. Ve bu yetki herhangi bir kullanici grubuna verilebiliyor.
> Bu haliyle pek guvenli bence. Yani daha granuler bir yetki tanimli olmali,
> yani mesela "butun kursiyer bilgilerini guncelleme", "butun egitmen
> bilgilerini guncelleme", "herkesin bilgilerini guncelleme" yetkileri gibi.
>
> kolay gelsin.
>
> 17 Temmuz 2011 15:33 tarihinde Uğur Yıldız <yildiz.ugur at gmail.com> yazdı:
>
>>  Merhaba arkadaÅŸlar?
>> Geçen gün bir arkadaşımla moodle lms sistemindeki yetki ayarlamaları
>> üzerine görüş ayrılığına düştük.
>> Sistemde kullanıcı grupları oluşturulabilmekte ve bu gruplara yetkiler
>> verilebilmekte.
>> Eğitmenlerin öğrenci hesaplarını sisteme yüklemeleri için oluşturmuş
>> olduğu "kursiyer atayan eğitmen" olarak adlandırdığı gruba kullanıcı
>> düzenleme ve yükleme yetkisi verilmiş durumda. (bu arada moodle'da
>> kullanıcılarla alakalı başka bir yetki tanımı yok)
>> Bu yetki ile sistemdeki tüm kullanıcıların (diğer eğitmenler ve
>> yöneticilerin) kullanıcı bilgileri güncellenebilmektedir. Mesela diğer
>> eÄŸitmenlerin ÅŸifreleri :)
>> Bende arkadaşa bu bir güvenlik zaafiyetidir dediğimde bana cevabı şu
>> ÅŸekilde oldu.
>> "bir zaafiyet söz konusu değil.
>> senin rolünü "kursiyer atayan eğitmen" olarak atadığımdan  böyle bir
>> yetkin var. fakat bu yetkilerin tamamını kaldırdık." (neden kaldırdığını
>> tahmin etmiÅŸsinizdir)
>> :) diÄŸer eÄŸitmenleri yetkileri devam ediyor... :)
>> şimdi eğitmenlere güvenerek bir sistemi yönetmek ne kadar doğru?
>> Böyle bir özellik bilerek kullanıldığında bu bir "güvenlik zaafiyeti"
>> olmuyor mu?
>> Fikirlerinizi merak ediyorum.
>> --
>> UÄŸur YILDIZ
>> P: yildiz.ugur at gmail.com
>> P: ugur at uguryildiz.net
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110718/54366ad4/attachment.html 


More information about the Owasp-turkey mailing list