diff --git a/src/main/webapp/lesson_plans/ru/AccessControlMatrix.html b/src/main/webapp/lesson_plans/ru/AccessControlMatrix.html index 576bf3b72..e45d57ddf 100644 --- a/src/main/webapp/lesson_plans/ru/AccessControlMatrix.html +++ b/src/main/webapp/lesson_plans/ru/AccessControlMatrix.html @@ -1,9 +1,16 @@
-

Lesson Plan Title: Using an Access Control Matrix

+

Название урока: Использование матрицы контроля доступа

-

Concept / Topic To Teach:

+

Тема для изучения:

-In a role-based access control scheme, a role represents a set of access permissions and privileges. A user can be assigned one or more roles. A role-based access control scheme normally consists of two parts: role permission management and role assignment. A broken role-based access control scheme might allow a user to perform accesses that are not allowed by his/her assigned roles, or somehow allow privilege escalation to an unauthorized role. -

General Goal(s):

-Each user is a member of a role that is allowed to access only certain resources. Your goal is to explore the access control rules that govern this site. Only the [Admin] group should have access to the 'Account Manager' resource. +В схемах основанных на ролях сама роль представляет из себя набор разрешений доступа и привилегий. +Пользователю одновременно может быть присвоена одна или более ролей. +Подобные схемы чаще всего включают в себя два механизма: механизм работы с разрешениями доступа и +механизм назначения привилегий. В случаях когда реализация данной схемы имеет какие-то изъяны пользователь может получить +доступ к функционалу, к которому ему обращаться не разрешено. Или он может каким-либо образом повысить свои +привилегии в приложении. +

Основные цели и задачи:

+Каждый пользователь имеет свою роль(и), наличие которой позволяет ему получать доступ к строго определённым ресурсам. +Вашей целью является изучение механизма разграничения доступа на данном сайте и поиск в нём изъянов. +Только пользователи из группы [Admin] должны иметь доступ к разделу управления аккаунтами. diff --git a/src/main/webapp/lesson_plans/ru/PathBasedAccessControl.html b/src/main/webapp/lesson_plans/ru/PathBasedAccessControl.html index 235bd2528..7c69d6e1c 100644 --- a/src/main/webapp/lesson_plans/ru/PathBasedAccessControl.html +++ b/src/main/webapp/lesson_plans/ru/PathBasedAccessControl.html @@ -1,9 +1,11 @@
-

Lesson Plan Title: How to Bypass a Path Based Access Control Scheme

+

Название урока: Обход схем контроля доступа основанных на путях файловой системы.

-

Concept / Topic To Teach:

+

Тема для изучения:

-In a path based access control scheme, an attacker can traverse a path by providing relative path information. Therefore an attacker can use relative paths to access files that normally are not directly accessible by anyone, or would otherwise be denied if requested directly. +В схемах контроля доступа основанных на путях файловой системы атакующий может попытаться передать приложению +относительный путь, вместо ожидаемых данных, для обхода ограничений безопасности. Следовательно, злоумышленник может +получить доступ к файлам, которые находятся вне текущей директории и к которым при нормальной работе приложения обращаться нельзя. -

General Goal(s):

-The user should be able to access a file that is not in the listed directory. \ No newline at end of file +

Основные цели и задачи:

+Пользователь должен получить доступ к файлу, находящемуся вне текущей директории. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/RemoteAdminFlaw.html b/src/main/webapp/lesson_plans/ru/RemoteAdminFlaw.html index e852cbcba..0b5a14085 100644 --- a/src/main/webapp/lesson_plans/ru/RemoteAdminFlaw.html +++ b/src/main/webapp/lesson_plans/ru/RemoteAdminFlaw.html @@ -1,11 +1,15 @@
-

Lesson Plan Title: How to Force Browser Web Resources

+

Название урока: Доступ к скрытым ресурсам сайта

-

Concept / Topic To Teach:

-Applications will often have an administrative interface that allows privileged users access to functionality that normal users shouldn't see. The application server will often have an admin interface as well. -

Standards Addressed :

-

General Goal(s): +

Тема для изучения:

+Приложения очень часто имеют административные интерфейсы позволяющие привилегированным пользователям +получать доступ к такому функционалу, к которому обычные пользователи не допускаются. Кроме того, +сам сервер приложения может иметь административный интерфейс. +

Стандартные адреса:

+

Основные цели и задачи: -Try to access the administrative interface for WebGoat. You may also try to access the administrative interface for Tomcat. The Tomcat admin interface can be accessed via a URL (/admin) and will not count towards the completion of this lesson. +Попробуйте получить доступ к административному интерфейсу WebGoat. Вы также можете попытаться обратиться к административному +интерфейсу Tomcat. Располагается он по адресу /admin. Обратите внимание на то что непосредственного отношения к данному уроку +он не имеет.

diff --git a/src/main/webapp/lesson_plans/ru/RoleBasedAccessControl.html b/src/main/webapp/lesson_plans/ru/RoleBasedAccessControl.html index 132dc235f..98bff910f 100644 --- a/src/main/webapp/lesson_plans/ru/RoleBasedAccessControl.html +++ b/src/main/webapp/lesson_plans/ru/RoleBasedAccessControl.html @@ -1,15 +1,24 @@
-

Lesson Plan Title: Role Based Access Control

+

Название урока: Контроль доступа основанный на ролях

-

Concept / Topic To Teach:

+

Тема для изучения:

-In role-based access control scheme, a role represents a set of access permissions and privileges. A user can be assigned one or more roles. A role-based access control normally consists of two parts: role permission management and role assignment. A broken role-based access control scheme might allow a user to perform accesses that are not allowed by his/her assigned roles, or somehow obtain unauthorized roles. +В схемах основанных на ролях сама роль представляет из себя набор разрешений доступа и привилегий. +Пользователю одновременно может быть присвоена одна или более ролей. +Подобные схемы чаще всего включают в себя два механизма: механизм работы с разрешениями доступа и +механизм назначения привилегий. В случаях когда реализация данной схемы имеет какие-то изъяны пользователь может получить +доступ к функционалу, к которому ему обращаться не разрешено. Или он может каким-либо образом повысить свои +привилегии в приложении. + -

General Goal(s):

-Your goal is to explore the access control rules that govern this site. Each role has permission to certain resources (A-F). Each user is assigned one or more roles. Only the user with the [Admin] role should have access to the 'F' resources. In a successful attack, a user doesn't have the [Admin] role can access resource F. -

Lesson Resources:

-Org Chart +

Основные цели и задачи:

+Ваша цель состоит в изучении правил контроля доступа данного сайта. +Каждая роль имеет разрешения на доступ к определённому ресурсу (A-F). Каждому пользователю присвоена одна или более ролей. +Только пользователи имеющие роль [Admin] могу получать доступ к F-ресурсам. В случае удачного проведения атаки +пользователь не имеющий роль [Admin] должен получить доступ к F-ресурсам. +

Учебные ресурсы:

+Схема организации
-Access Control Matrix +Матрица контроля доступа
-Database Schema +Структура базы данных