Ders 4 - Access Control Flaws > Using an Access Control Matrix
Webgoat'ın Access Control Flaws, yani Erişim Kontrolü Kusurları ünitesinin ilk kısmı olan Using an Access Control Matrix(Erişim Kontrolü Matrisini Kullanma) dersinde, simule edilen sistemin kullanıcıları ve o kullanıcıların izinleri ele alınmıştır.

Dersin Hedefi

Her kullanıcıya yalnızca belirli kaynaklara erişim izni tanınmıştır. Yani her kullanıcıya bazı roller biçilmiştir. Hedefiniz Webgoat'ta simule edilen sitenin erişim izinlerini keşfetmektir. (NOT: Yalnızca [admin] grubundakiler Account Manager kaynağına erişebiliyor olmalı.)

Açıklamalar

Bu derste pek bir etkileşim olmadığı için açıklanabilecek belki tek şey ünite isminin neden matrix oluşudur. Matrix bildiğiniz üzere matris demektir. Bu dersin adında Matrix kullanılmasının nedeni kullanıcılar ve kaynaklar olmak üzere birbiriyle ilişkili iki kavramın yer alıyor oluşudur. Yani diyelim ki 4x6'lık bir matrisin 1.satırı Moe kullanıcısını temsil ediyor olsun. 1.satırın sütunları da sırasıyla kaynakları temsil etsin. Ders ekranından görebileceğiniz üzere kaynak sayısı 6 olduğundan sütun sayısı 6'dır. Bunlar Public Share, Time Card Entry, Performance Review, Time Card Approval, Site Manager ve Account Manager'dır. İlk kullanıcı olan Moe kullanıcısı bu kaynaklardan hangisine erişim hakkına sahipse o sütun 1, hangisi için erişim hakkına sahip değilse o sütun 0 olsun. Böylece matrisin birinci satırı Moe kullanıcısının tüm kaynaklara olan erişim izinlerini listelemiş oldu. Bunu ikinci kullanıcı için yaparsak ikinci satırı kullanırız. Üçüncü kullanıcı için yaparsak üçüncü satırı kullanırız. Hakeza dördüncü kullanıcı da aynı şekilde. Görüldüğü gibi bir matris kullanarak tüm kullanıcıların tüm kaynaklara olan erişim durumlarını derli toplu ve anlaşılır bir şekilde ifade etmiş olduk.

Dersin Çözümü

[Admin] grubunda olmayan ve Account Manager kaynağına erişim iznine sahip bir kullanıcı bulduğunuz takdirde bu dersi başarıyla tamamlamış olursunuz. O kullanıcı ise "Larry"dir. Larry kullanıcısı [User, Manager] grubunun bir üyesidir. [admin] grubunda olmamasına rağmen Account Manager(Hesap Yöneticisi) kaynağı için erişim iznine sahiptir. Dersi tamamlamak için "Larry" kullanıcısını seçin. Ardından Select Resource seçeneği için Account Manager'ı seçin ve Check Access butonuna tıklayın.
Bu yazı 27.04.2015 tarihinde, saat 08:48:05'de yazılmıştır. 23.09.2015 tarihi ve 10:04:24 saatinde ise güncellenmiştir.
Yazar : Hasan Fatih ŞİMŞEK Görüntülenme Sayısı : 2138
Yorumlar
Henüz yorum girilmemiştir.
Yorum Ekle
*
* (E-posta adresiniz yayınlanmayacaktır.)
*
*

#Arşiv


#Giriş

ID :
Şifre :