JIRA
Jeśli jesteś zainteresowany karierą w hacking i chcesz złamać to, co nie do złamania - zatrudniamy! (wymagana biegła znajomość polskiego w mowie i piśmie).
Sprawdź uprawnienia
W Jira, uprawnienia można sprawdzić przez każdego użytkownika, uwierzytelnionego lub nie, za pomocą punktów końcowych /rest/api/2/mypermissions
lub /rest/api/3/mypermissions
. Te punkty końcowe ujawniają aktualne uprawnienia użytkownika. Znaczącym problemem jest, gdy nieautoryzowani użytkownicy mają uprawnienia, co wskazuje na luki w zabezpieczeniach, które mogą kwalifikować się do nagrody. Podobnie, nieoczekiwane uprawnienia dla użytkowników uwierzytelnionych również podkreślają lukę.
Ważna aktualizacja miała miejsce 1 lutego 2019, wymagająca, aby punkt końcowy 'mypermissions' zawierał parametr 'permission'. Wymóg ten ma na celu zwiększenie bezpieczeństwa poprzez określenie uprawnień, które są sprawdzane: sprawdź to tutaj
ADD_COMMENTS
ADMINISTER
ADMINISTER_PROJECTS
ASSIGNABLE_USER
ASSIGN_ISSUES
BROWSE_PROJECTS
BULK_CHANGE
CLOSE_ISSUES
CREATE_ATTACHMENTS
CREATE_ISSUES
CREATE_PROJECT
CREATE_SHARED_OBJECTS
DELETE_ALL_ATTACHMENTS
DELETE_ALL_COMMENTS
DELETE_ALL_WORKLOGS
DELETE_ISSUES
DELETE_OWN_ATTACHMENTS
DELETE_OWN_COMMENTS
DELETE_OWN_WORKLOGS
EDIT_ALL_COMMENTS
EDIT_ALL_WORKLOGS
EDIT_ISSUES
EDIT_OWN_COMMENTS
EDIT_OWN_WORKLOGS
LINK_ISSUES
MANAGE_GROUP_FILTER_SUBSCRIPTIONS
MANAGE_SPRINTS_PERMISSION
MANAGE_WATCHERS
MODIFY_REPORTER
MOVE_ISSUES
RESOLVE_ISSUES
SCHEDULE_ISSUES
SET_ISSUE_SECURITY
SYSTEM_ADMIN
TRANSITION_ISSUES
USER_PICKER
VIEW_AGGREGATED_DATA
VIEW_DEV_TOOLS
VIEW_READONLY_WORKFLOW
VIEW_VOTERS_AND_WATCHERS
WORK_ON_ISSUES
Przykład: https://your-domain.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS
Automatyczna enumeracja
Jeśli jesteś zainteresowany karierą w hackingu i chcesz zhakować to, co nie do zhakowania - zatrudniamy! (wymagana biegła znajomość polskiego w mowie i piśmie).
Last updated