admin security holes

[black3r]

veduci (is_staff, group: trojsten) maju stale vela permissionov ktore im umoznuju robit kadejaku sarapatu..., zacnime s potencialnymi security issues (i.e. moznosti obist bezpecnost tam, kde o nejaku snaha bola) podla vaznosti:

• zmenit email nahodnemu cloveku (co umoznuje zavolat reset password aj pre superadminov)
• vytvorit duplicitneho pouzivatela pre superadmina a pouzit merge users feature aby sa stali superadminom
• zmenit skupinu veducich v sutazi ktoru neveducuju a tym padom sa stat veducim nejakej inej sutaze a rozbit to pre realnych veducich danej sutaze
• mozu zmenit skupinu veducich pre typ sustredenia a tym padom editovat cudzie sustredenia
• nemozu menit ulohy ani kategorie cudzich sutazi, ale casti ano, teda mozu zmenit sutaz v casti na tu, ktoru vedia ovladat...
• vidiet (mozno aj editovat) vsetky wiki clanky
• vidiet (mozno aj editovat) vsetky obrazky a prilohy zo vsetkych wiki clankov

a pridajme niektore dalsie veci, kde zatial ziadna snaha o separaciu stranok nebola a podla mna by sa aj zisla

• menit novinky a tipy na vsetkych strankach (toto je mozno feature, ale aj tak by som povedal ze by stacilo keby takuto permission malo zopar ludi za seminar (hlavny veduci / povereny webmaster / whatever)
• editovat vysledkovky vsetkych sutazi
• vidiet a editovat komentare na vsetkych strankach

toz to su take ktore som narychlo objavil tak ze som si skusil preklikat admina za testovacieho usera ktory je iba v skupine trojsten.., ak viete o nejakych dalsich, pls pridajte...