messy security notes
  • security is an illision
  • Useful Blog Links
  • Windows
    • ad-101
    • MS17-010
    • SMB
    • Post Exploitation Tricks
    • DCOM/RPC
    • Basic Commands
    • SMB Enumeration
  • Linux
    • SUID Set Edilmiş servicectl Abuse Etme
    • sudoers dosyası bozulursa?
    • SSH Welcome Message and Banner
    • pkexec ve pkttyagent
    • vipw , vigr , visudo
    • IP Forwarding
    • İki NIC Arasında Port Yönlendirme
    • tasksel
    • LAMP
    • Find All SUID Bit
    • Linux Operatorler
    • IFS
    • Ssh Public Key Tricks
    • Local & Remote Port Forwarding
    • Linux Priv Esc
    • Static IP
  • POST EXPLOITATION
    • from external network to domain admin
    • post exp 2
  • OSCP
  • Temel Komutlar ve Araçlar
  • Zayıf Servisler
  • Örnek Bir Senaryo
  • Parola Saldırıları
  • ms17-010 python exploit
  • Full Interactive Shell
  • Notes*
  • Apache James Server 2.3.2 Exploit
  • windows exploit suggester
  • FreeBsd and Some PHP tricks
  • fundamental blog
  • Metasoloit & Meterpreter & msfvenom
  • at-tftp server 1.9
  • Tunneling and Forwarding
  • Common Exploits
  • Windows Servisler
  • Execute process as another user
  • Teorik
    • Authentication and Authorization
    • Kullanıcı Hesap Türleri ve Hakları
    • Kerberos
  • SYSTEM
    • Apache2
    • Bind9 Log
    • apache - basic auth - proxy
  • Buffer Overflow - BOF
    • BOF - Stack Based
    • BoF Links
  • BASH SCRIPTING
    • Samples
  • keepnote
  • Docker
    • Docker
  • Misc
    • 50-cloud-init.yaml
Powered by GitBook
On this page

Was this helpful?

  1. Teorik

Authentication and Authorization

Kimlik Doğrulama ve Yetkilendirme

Kimlik doğrulama(authentication) ve Yetkilendirme(authorization) terimleri arasında ciddi farklar vardır.

Authentication bir sistemde/uygulamada kullanıcı/servis kimliğinin doğrulaması işlemine verilen isimdir. Bu süreçte sadece kullanıcının ilgili sisteme erişim sağlaması için istenilen bilgilerin doğruluğu teyit edilmektedir. Bu durum genellikle kullanıcı adı ve parola ikilisinden oluşmanın yanında biometrik doğrulama veya sertifika tabanlı(private key) gibi doğrulama yöntemleride authentication kapsamında değerlendirilir. Authentication, authorization aşamasından önce gelir, gelmek zorundadır.

Öte taraftan authorization ise yetkilendirme mekanizmasıyla ilgili olduğu için daha çok izinlerin kontrolunu sağlamak amacıyla kullanılan yöntemleri ifade etmek için kullanılır. Bir kullanıcının bir uygulama/servise erişim hakkının/izninin olup olmadığı veya erişim izni olabilir ancak yazma izninin olup olmadığı gibi durumları kontrol eder. Sistem üzerindeki her hak ve yetki kontrolu özetle authorization ile ifade edilir.

Authorization iki kısımdan oluşur.

. Sistem yöneticisi kaynaklar üzerindeki izinleri ayarlar. . Sistem/uygulama izinleri set edilen kaynağa erişim gerçekleştirdiği zaman yapacağı işlemler için yetkilendirme kontrolu yapması. ve ilgili izinlere sahip olması durumunda değiştirme, okuma vs gibi işlemleri yapabilmesi için doğrular.

Yukarıda da anlaşılacağı üzere authentication her zaman authorization aşamasından önce gelmelidir. Aksi durumda bir güvenlik ihlali söz konusudur.

PreviousExecute process as another userNextKullanıcı Hesap Türleri ve Hakları

Last updated 6 years ago

Was this helpful?