dubey/WebGoat
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Chapter "Access control flaws" translated on Russian (UTF-8)

Browse Source 
git-svn-id: http://webgoat.googlecode.com/svn/trunk/webgoat@423 4033779f-a91e-0410-96ef-6bf7bf53c507
This commit is contained in:
white.tiger.russia@gmail.com 2011-05-22 12:27:37 +00:00
parent 23f0a2ef33
commit f119ac120d
4 changed files with 47 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

17
src/main/webapp/lesson_plans/ru/AccessControlMatrix.html
View File

@ -1,9 +1,16 @@
<div align="Center"> <div align="Center">
<p><b>Lesson Plan Title:</b> Using an Access Control Matrix</p> <p><b>Название урока:</b> Использование матрицы контроля доступа</p>
</div> </div>
<p><b>Concept / Topic To Teach:</b> </p> <p><b>Тема для изучения:</b> </p>
<!-- Start Instructions --> <!-- Start Instructions -->
In a role-based access control scheme, a role represents a set of access permissions and privileges. A user can be assigned one or more roles. A role-based access control scheme normally consists of two parts: role permission management and role assignment. A broken role-based access control scheme might allow a user to perform accesses that are not allowed by his/her assigned roles, or somehow allow privilege escalation to an unauthorized role. В схемах основанных на ролях сама роль представляет из себя набор разрешений доступа и привилегий.
<p><b>General Goal(s):</b> </p> Пользователю одновременно может быть присвоена одна или более ролей.
Each user is a member of a role that is allowed to access only certain resources. Your goal is to explore the access control rules that govern this site. Only the [Admin] group should have access to the 'Account Manager' resource. Подобные схемы чаще всего включают в себя два механизма: механизм работы с разрешениями доступа и
механизм назначения привилегий. В случаях когда реализация данной схемы имеет какие-то изъяны пользователь может получить
доступ к функционалу, к которому ему обращаться не разрешено. Или он может каким-либо образом повысить свои
привилегии в приложении.
<p><b>Основные цели и задачи:</b> </p>
Каждый пользователь имеет свою роль(и), наличие которой позволяет ему получать доступ к строго определённым ресурсам.
Вашей целью является изучение механизма разграничения доступа на данном сайте и поиск в нём изъянов.
Только пользователи из группы [Admin] должны иметь доступ к разделу управления аккаунтами.
<!-- Stop Instructions --> <!-- Stop Instructions -->

12
src/main/webapp/lesson_plans/ru/PathBasedAccessControl.html
View File

@ -1,9 +1,11 @@
<div align="Center"> <div align="Center">
<p><b>Lesson Plan Title:</b> How to Bypass a Path Based Access Control Scheme </p> <p><b>Название урока:</b> Обход схем контроля доступа основанных на путях файловой системы. </p>
</div> </div>
<p><b>Concept / Topic To Teach:</b> </p> <p><b>Тема для изучения:</b> </p>
<!-- Start Instructions --> <!-- Start Instructions -->
In a path based access control scheme, an attacker can traverse a path by providing relative path information. Therefore an attacker can use relative paths to access files that normally are not directly accessible by anyone, or would otherwise be denied if requested directly. В схемах контроля доступа основанных на путях файловой системы атакующий может попытаться передать приложению
относительный путь, вместо ожидаемых данных, для обхода ограничений безопасности. Следовательно, злоумышленник может
получить доступ к файлам, которые находятся вне текущей директории и к которым при нормальной работе приложения обращаться нельзя.
<!-- Stop Instructions --> <!-- Stop Instructions -->
<p><b>General Goal(s):</b> </p> <p><b>Основные цели и задачи:</b> </p>
The user should be able to access a file that is not in the listed directory. Пользователь должен получить доступ к файлу, находящемуся вне текущей директории.

16
src/main/webapp/lesson_plans/ru/RemoteAdminFlaw.html
View File

@ -1,11 +1,15 @@
<div align="Center"> <div align="Center">
<p><b>Lesson Plan Title: </b>How to Force Browser Web Resources</p> <p><b>Название урока: </b>Доступ к скрытым ресурсам сайта</p>
</div> </div>
<p><b>Concept / Topic To Teach:</b> </p> <p><b>Тема для изучения:</b> </p>
Applications will often have an administrative interface that allows privileged users access to functionality that normal users shouldn't see. The application server will often have an admin interface as well. Приложения очень часто имеют административные интерфейсы позволяющие привилегированным пользователям
<p><b>Standards Addressed :</b> </p> получать доступ к такому функционалу, к которому обычные пользователи не допускаются. Кроме того,
<p><b>General Goal(s):</b> сам сервер приложения может иметь административный интерфейс.
<p><b>Стандартные адреса:</b> </p>
<p><b>Основные цели и задачи:</b>
<!-- Start Instructions --> <!-- Start Instructions -->
Try to access the administrative interface for WebGoat. You may also try to access the administrative interface for Tomcat. The Tomcat admin interface can be accessed via a URL (/admin) and will not count towards the completion of this lesson. Попробуйте получить доступ к административному интерфейсу WebGoat. Вы также можете попытаться обратиться к административному
интерфейсу Tomcat. Располагается он по адресу /admin. Обратите внимание на то что непосредственного отношения к данному уроку
он не имеет.
<!-- Stop Instructions --> <!-- Stop Instructions -->
</p> </p>

27
src/main/webapp/lesson_plans/ru/RoleBasedAccessControl.html
View File

@ -1,15 +1,24 @@
<div align="Center"> <div align="Center">
<p><b>Lesson Plan Title:</b> Role Based Access Control</p> <p><b>Название урока:</b> Контроль доступа основанный на ролях</p>
</div> </div>
<p><b>Concept / Topic To Teach:</b> </p> <p><b>Тема для изучения:</b> </p>
<!-- Start Instructions --> <!-- Start Instructions -->
In role-based access control scheme, a role represents a set of access permissions and privileges. A user can be assigned one or more roles. A role-based access control normally consists of two parts: role permission management and role assignment. A broken role-based access control scheme might allow a user to perform accesses that are not allowed by his/her assigned roles, or somehow obtain unauthorized roles. В схемах основанных на ролях сама роль представляет из себя набор разрешений доступа и привилегий.
Пользователю одновременно может быть присвоена одна или более ролей.
Подобные схемы чаще всего включают в себя два механизма: механизм работы с разрешениями доступа и
механизм назначения привилегий. В случаях когда реализация данной схемы имеет какие-то изъяны пользователь может получить
доступ к функционалу, к которому ему обращаться не разрешено. Или он может каким-либо образом повысить свои
привилегии в приложении.
<!-- Stop Instructions --> <!-- Stop Instructions -->
<p><b>General Goal(s):</b> </p> <p><b>Основные цели и задачи:</b> </p>
Your goal is to explore the access control rules that govern this site. Each role has permission to certain resources (A-F). Each user is assigned one or more roles. Only the user with the [Admin] role should have access to the 'F' resources. In a successful attack, a user doesn't have the [Admin] role can access resource F. Ваша цель состоит в изучении правил контроля доступа данного сайта.
<p><b>Lesson Resources:</b> </p> Каждая роль имеет разрешения на доступ к определённому ресурсу (A-F). Каждому пользователю присвоена одна или более ролей.
<a href="lessons/RoleBasedAccessControl/images/orgChart.jpg" onclick="makeWindow(this.href, 'Org Chart');return false;" target="orgChartWin">Org Chart</a> Только пользователи имеющие роль [Admin] могу получать доступ к F-ресурсам. В случае удачного проведения атаки
пользователь не имеющий роль [Admin] должен получить доступ к F-ресурсам.
<p><b>Учебные ресурсы:</b> </p>
<a href="lessons/RoleBasedAccessControl/images/orgChart.jpg" onclick="makeWindow(this.href, 'Org Chart');return false;" target="orgChartWin">Схема организации</a>
<br> <br>
<a href="lessons/RoleBasedAccessControl/images/accessControl.jpg" onclick="makeWindow(this.href, 'Access Control Matrix');return false;" target="accessControlWin">Access Control Matrix</a> <a href="lessons/RoleBasedAccessControl/images/accessControl.jpg" onclick="makeWindow(this.href, 'Access Control Matrix');return false;" target="accessControlWin">Матрица контроля доступа</a>
<br> <br>
<a href="lessons/RoleBasedAccessControl/images/dbSchema.jpg" onclick="makeWindow(this.href, 'Access Control Matrix');return false;" target="accessControlWin">Database Schema</a> <a href="lessons/RoleBasedAccessControl/images/dbSchema.jpg" onclick="makeWindow(this.href, 'Access Control Matrix');return false;" target="accessControlWin">Структура базы данных</a>