Mantis安全性研究-问题隔离v1

1、 Mantis安全性研究问题报告员访问隔离文档作者：张恒斌创建日期：2022-01-28更新日期：2022-01-28文档编码：当前版本：1.0审批签字：项目经理项目经理文档控制变更记录日期作者版本变更参考2010-9-13张恒斌1.0原始文档审核姓名职位分发拷贝编号姓名位置/岗位备注：出于文档管理的目的，如果您收到了本文档的电子版本，请打印出来并在封面的相应位置写上您的名字。出于文档管理的目的，如果您收到了本文档的纸介质版本，请在封面写上您的名字。目录Mantis安全性研究i文档控制ii概述1目的1前期准备1安全性测试1未决与已结问题4未决问题4已结问题4概述目的通过该文档将使阅读者了解关于

2、该客户化功能的实现过程及相关引用情况前期准备1. 用户创建以下两个用户(user1/user2)2. 项目本次在测试环境中创建了两个项目(A项目/B项目)根据以上设置，张三可以看到AB两个项目，李四只可看到B项目安全性测试Mantis本身已经具备了对于项目的访问控制，公开与私有两个属性再加上可以为指定用户分配指定项目，通过交叉也就基本上可以实现了对于项目的访问控制本次研究的主要是基本相同项目的多个用户间的数据隔离,经过测试可以发现当用户在提交问题时，如果查看权限一项选择了私有，即可实现此在未分配指派前问题仅有自己可以看到，相同等级的其他员工是无法看到的1.程序修改思路如果进行推广使用，那么就需

3、要强制用户在进行问题提交时，强制选择为私有即可解决访问隔离的需求修改mantis主目录下的bug_report_page.php(row:484 / 485) ，修改如下：<label><input <?php echo helper_get_tab_index() ?> type="radio" name="view_state" disabled="disabled" value="<?php echo VS_PUBLIC ?>" <?php check_chec

4、ked( $f_view_state, VS_PUBLIC ) ?> /> <?php echo lang_get( 'public' ) ?></label><label><input <?php echo helper_get_tab_index() ?> type="radio" checked="CHECKED" name="view_state" value="<?php echo VS_PRIVATE ?>"

5、<?php check_checked( $f_view_state, VS_PRIVATE ) ?> /> <?php echo lang_get( 'private' ) ?></label>1.程序实现效果改完程序后，无需重启，即可看到效果：本次修改的比较简单，将所有提交问题的贴子都将强制为只能使用私有，2.测试对比User1用户问题清单：User2用户的问题清单：3.测试结果通过对界面上此项的限制，可以借助系统的标准功能来完成提交问题的数据隔离，同时对程序的修改也是最小需要说明一点的就是程序改后，对所有用户起作用，并没有做区分，即使管理员提交问题也同样会是私有的，不过