Informationssicherheit, 3. Übung
Aufgabe 1, 4 Punkte, Gruppe
Löst in unserer CTF-Plattform
die Challenge RBAC. Erstellt dafür einen Container und öffnet die
zugehörige Webseite. Führt die Zuordnungen von Mitarbeitenden zu
Rollen und von Rollen zu Berechtigungen durch wie auf der Webseite
beschrieben.
Dokumentiert Euer Vorgehen. Erstellt sinnvoll Screenshots. Bindet
einen Screenshot in Eure Abgabe ein, der die Aufgabenstellung von der
Webseite und die erhaltene Flag enthält.
Bitte gebt wie immer Eure Usernamen und Euren Teamnamen in der Abgabe an.
Abgabe
bis 2024-11-07 23:59 UTC, digital in Stud.IP als zip-Archiv mit einer Markdown-Datei, einem gerenderten PDF dieser Markdown-Datei und allen Dateien, die die Markdown-Datei zum Rendern braucht. Als Dateinamen verwendet Ihr
isec24_ueb03_grpYY.(md|pdf|zip) (Das YY mit Eurer
Gruppennummer ersetzen). Dabei bitte in der Datei alle
Gruppenmitglieder namentlich nennen. Ebenso die Nummer Eurer Gruppe in
Stud.IP.
Bitte steckt die Energie ins Denken und Schreiben, nicht in eine
wunderschöne Formatierung — lesbar darf es allerdings sein. Die
Lösungswege sollten nachvollziehbar sein.
Carsten Bormann, Karsten Sohr, Stefanie Gerdes, Jan-Frederik
Rieckers, Finn Ewers, Andreas Benischke ·
isec@tzi.org, WS 2024/25
Abgabe 3
Nachdem eine Instanz auf CTF kreiert wurde und der Reiter Open as Web Pagegeklickt wurde, öffnet sich eine Seite mit dem Aufgabentext und leerstehenden Textfeldern (siehe Abb. ).
Für die Aufgabe, das Personal den jeweiligen Rollen zuzuordnen, spielt der zweite Textabschnitt insofern eine Rolle, dass dieser beschreibt, welche Personen (User) welchen Unternehmensabteilung (Rolle) zugehörig sind. Diesen Informationen können wir also entnehmen, um in den gestellten Textfelden jeweils Nachname einer Person und ihre Rolle einzutragen.
ABBILDUNG
Dem dritten Textabschnitt können wir den Rollen zugehörigen Berechtigungen entnehmen. Es gibt sieben Berechtigungen, die jeweils eine Lese- und Schreibberechtigung von abteilungsspezifischen Daten darstellen.
Die Rollen Human Resources, Buchhaltung und Entwicklung haben Lese- und Schreibzugriff auf die jeweiligen abteilungszugehörigen Dateien. Die Geschäftsleitung dagegen hat Schreib- und Lesezugriff auf die Finanzprognosen und wie in der Aufgabenstellung beschrieben, zusätzlich Leserechte auf die Personalentwicklungsdaten und die Gehälter. Zu Beachten war aber hier, dass die Schreibrechte wegfallen.
Nach vollständiger Zuordnung der User zu ihren Rollen und ihren entsprechenden Zugriffsberechtigung, konnte die Flag erhalten werden.