关于K3 CLOUD 的系统管理中权限漏洞问题
许思杰
2,731次浏览
编辑于2015年10月11日 18:54:36
关于系统管理中 对于已授权的系统用户增加角色为管理员后,该用户在系统管理中,可以将系统中任意角色分配给任何人,这是不是系统设计的时候考虑不全面啊,如果这样,这个带有管理角色的用户就可以将自己、其它员工授权为最大权限角色用户(如用别人用户账号可以分配角色后重置别人登陆密码),后将系统所有数据都引出,那将是企业信息化的灾难; K3CLOUD 应该要考虑到管理员应该是分级授权,是在公司许可的角色范围内对用户进行授权才是安全的!因为ADMINSTRATOR 一般只有企业重点负责人掌握,不可能每增加一个员工用户都由最高负责人来进行角色授权,应该由不同分公司兼有系统管理员角色的用户来进行日常的权限管理,且管理和授权都是应该在ADMINISTOR 授权范围内进行,而不是随意和无限大。
希望能将这个问题反馈到金蝶有关管理人员,金蝶帮助企业成功!不能因为系统漏洞导致企业商业信息泄露开倒车。
推荐阅读
您的鼓励与嘉奖将成为创作者们前进的动力,如果觉得本文还不错,可以给予作者创作打赏哦!
请选择打赏金币数 *
10金币20金币30金币40金币50金币60金币
可用金币: 0