Mantis安全性研究问题隔离v

tingxuan00
2 ℃
2020-01-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

Mantis安全性研究——问题报告员访问隔离文档作者：张恒斌创建日期：2020-01-10更新日期：2020-01-10文档编码：当前版本：1.0审批签字：项目经理项目经理错误!未找到引用源。错误!未找到引用源。OIEii文档控制变更记录日期作者版本变更参考2010-9-13张恒斌1.0原始文档审核姓名职位分发拷贝编号姓名位置/岗位备注：出于文档管理的目的，如果您收到了本文档的电子版本，请打印出来并在封面的相应位置写上您的名字。出于文档管理的目的，如果您收到了本文档的纸介质版本，请在封面写上您的名字。错误!未找到引用源。错误!未找到引用源。OIEiii目录Mantis安全性研究.................................................................................................i文档控制...........................................................................................................ii概述....................................................................................................................1目的................................................................................................................................1前期准备........................................................................................................................1安全性测试.....................................................................................................................1未决与已结问题................................................................................................4未决问题........................................................................................................................4已结问题........................................................................................................................4错误!未找到引用源。错误!未找到引用源。OIE1概述目的通过该文档将使阅读者了解关于该客户化功能的实现过程及相关引用情况前期准备1.用户创建以下两个用户(user1/user2)2.项目本次在测试环境中创建了两个项目(A项目/B项目)根据以上设置，张三可以看到AB两个项目，李四只可看到B项目安全性测试Mantis本身已经具备了对于项目的访问控制，公开与私有两个属性再加上可以为指定用户分配指定项目，通过交叉也就基本上可以实现了对于项目的访问控制本次研究的主要是基本相同项目的多个用户间的数据隔离,经过测试可以发现当用户在提交问题时，如果查看权限一项选择了私有，即可实现此在未分配指派前问题仅有自己可以看到，相同等级的其他员工是无法看到的1.程序修改思路如果进行推广使用，那么就需要强制用户在进行问题提交时，强制选择为私有即可解决访问隔离的需求修改mantis主目录下的bug_report_page.php(row:484/485)，修改如下：错误!未找到引用源。错误!未找到引用源。OIE2labelinput?phpechohelper_get_tab_index()?type=radioname=view_statedisabled=disabledvalue=?phpechoVS_PUBLIC??phpcheck_checked($f_view_state,VS_PUBLIC)?/?phpecholang_get('public')?/labellabelinput?phpechohelper_get_tab_index()?type=radiochecked=CHECKEDname=view_statevalue=?phpechoVS_PRIVATE??phpcheck_checked($f_view_state,VS_PRIVATE)?/?phpecholang_get('private')?/label1.程序实现效果改完程序后，无需重启，即可看到效果：本次修改的比较简单，将所有提交问题的贴子都将强制为只能使用私有，2.测试对比User1用户问题清单：错误!未找到引用源。错误!未找到引用源。OIE3User2用户的问题清单：3.测试结果通过对界面上此项的限制，可以借助系统的标准功能来完成提交问题的数据隔离，同时对程序的修改也是最小需要说明一点的就是程序改后，对所有用户起作用，并没有做区分，即使管理员提交问题也同样会是私有的，不过考虑到管理员提交问题的可能性比较小，所以可以权衡一下错误!未找到引用源。错误!未找到引用源。OIE4未决与已结问题未决问题序号问题解决方案负责人目标日期实际日期已结问题序号问题解决方案负责人目标日期实际日期