[Owasp-turkey] Username

Bedirhan Urgun bedirhanurgun at gmail.com
Thu Apr 5 10:35:43 UTC 2012


Merhaba Oguzhan,
Anladigim kadari ile web uygulamasi kendisine gelen bazi istekleri console uygulamaniza yonlendiriyor. Bu uygulama da mesela kullanici olusturuyor v.b. web uygulamasi yuksek haklar ile calismiyor ama console uygulamasi system haklari ile calisiyor. 
Web uygulamasi yolu ile command injection olup olmadigi kontrol edilmeli. Kullanici isimlerini web uygulamasini kullanan kullanici seciyor diye anliyorum. Belki blacklisting yerine atiyorum usr_ ile baslayan kullanici isimleri politika olarak uygulanabilir.

On Apr 3, 2012, at 8:45 PM, Oğuzhan YILMAZ <aspsrc at gmail.com> wrote:

> Selamlar,
> 
> Windows üzerinde local user'ları SYSTEM hakları ile yöneten bir uygulamamız var. Normalde windows user'ları FTP ve Disk üzerindeki haklar için kullanılıyoruz tabi bu uygulamada Web üzerinden kontrol ediliyor. Örneğin: kullanıcı Administrator isminde bir kullanıcı açabilir veya admin veya root isminde aynı şekilde bunu silebilir de. Biz belli isimler yasakladık fakat bunun security literatöründe bir stratejisi var mı dır? merak ettim.
> 
> -- 
> Oğuzhan
> 
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey


More information about the Owasp-turkey mailing list