Berechtigung Dateidownload XPages

[ubbser]

Hallo Zusammen,

ich habe im Rahmen eines Pen-Tests eine Fehlermeldung erhalten, welche mich sehr verwundert. Ich hoffe hier vielleicht ein paar hilfreiche Tipps zu erhalten, mit denen ich das Problem beheben kann.

Die Anwendung basiert auf XPages und wird lediglich über den Browser aufgerufen.

Die gepflegten Dokumente sind alle mit Leser und Bearbeiterfelder versehen.

Die zugehörige XPage hat ein DateiDownload-Steuerelement mit einer entsprechenden Datenbindung.

Wenn ein autorisierter Anwender nun den vom Steuerelement generierten Link, vgl. Beispiel

https://<URL>.nsf/xsp/.ibmmodres/domino/OpenAttachment/<DB>/<UNID>/<FELD>/<ANHANG>.xls

versendet und ein nicht autorisierter Anwender (nicht im Leser- / Bearbeiterfeld) diesen Link aufruft, wird im trotzdem die Datei angeboten.

Mit der alten Systematik

https://<URL>.nsf/0/<UNID>/$File/<ANHANG>.xls

kommt wie erwartet die Serveranmeldemaske.

Dieses Verhalten tritt sowohl bei Domino 8.5.3 FP5 als auch bei Domino 9 auf. Beide Server sind standardmäßig konfiguriert.

Habe ich irgendetwas übersehen, da ich mir nur schwer vorstellen kann, dass es eine "echte" Sicherheitslücke ist.

Denn dies würde bedeuten, dass ich einem fremden Anwender einen Link schicken kann und sollte z.B. Anonymous auch nur als Einlieferer gesetzt sein in der ACL, ist der unberechtigte Download der Datei möglich.

Ich bin dankbar für jede Unterstützung.

[Sven Hasselbach]

Kann ich nicht bestätigen. Zum Einen habe ich mal einen Test mit entsprechendem Versuchsaufbau gemacht, zum Anderen mir den beteiligten Code des Servlets angeschaut. Es gilt die Weisheit: "Ein Leserfeld bleibt ein Leserfeld bleibt ein Leserfeld."

Wenn eine Attachment über das Resource Servlet aufgerufen wird, und man hat Zugriff auf die DB, die das Servlet bedient (z.B. als Depositor), erhält man über die URL eine Antwort mit der gewünschten Datei (also ein 200er Return Code vom Server und ein MIME Objekt passend zur Extension). Allerdings ist diese leer.

Bsp.

Code

http://example.com/domcfg.nsf/xsp/.ibmmodres/domino/OpenAttachment/pfad/zur/db.nsf/00000000000000000000000000000000/FELD_NICHT_VORHANDEN/KEINE_DATEI.xls

liefert ein Excel-Sheet zurück. Ändert man das in .doc, gibt es ein Word Dokument.

Am Beispiel sieht man auch, wie gravierend der Bug wäre: Durch den Aufruf der domcfg.nsf, auf die jeder Zugriff hat, könnte man auf alle anderen DBs zugreifen, die es gibt.

Wenn man etwas drüber nachdenkt, ist dieses Verhalten sogar eher ein Sicherheitsfeature denn ein Problem, denn so kann ein Angreifer nicht per Brutforce auf existierende DocUNIDs und Felder testen.

[ascabg]

Hallo,

Ich will ja nicht noergeln, aber warum immer wieser dies hier.

Dominoforum


Andreas

[Sven Hasselbach]

Ich weiß, es steht in den Forenregeln drin, aber mal Interessehalber:
Was soll mit dem Verbot eigentlich konkret erreicht werden?

[ascabg]

Ich weiß, es steht in den Forenregeln drin, aber mal Interessehalber:
Was soll mit dem Verbot eigentlich konkret erreicht werden?

Das muss Du diejenigen fragen, die die Regeln aufgestellt haben.

Und direkt verboten ist es doch nicht.
Der Threadersteller soll halt, wenn er denn auch noch zeitgleich in einem weiteren Forum dieses Problem zur Diskussion stellt,
einen entsprechenden Hinweis einstellen.
Anderenfalls wird er sich somit sehr "beliebt" machen und je oefter er so verfaehrt, um so geringer wird der Antrieb der anderen
Forenteilnerhmer werden, ihm entsprechende Hilfestellungen zu geben.



Andreas

[Driri]

Hinter der Regel steckt AFAIK folgender Gedanke:

Für die Beantwortung von Fragen investieren einige Mitglieder hier Zeit (Arbeitszeit oder Freizeit). Ebenso passiert dies z.B. im DominoForum durch andere Personen.
Insofern ist es nur fair, wenn ein zumindest ein entsprechender Hinweis auf ein Doppelposting im Thread enthalten ist. Ggf. wurde das Problem ja bereits in einem anderen Forum gelöst und man kann sich die Zeit sparen.

Es ist in der Vergangenheit leider recht häufig passiert, daß Fragen im DominoForum und bei AtNotes parallel gepostet wurden und sich in beiden Foren Personen die Mühe gemacht haben, sich in das Problem einzudenken und Hilfe zu leisten. Mindestens auf einer Seite war das dann eigentlich für die Tonne.

[Sven Hasselbach]

Für die Beantwortung von Fragen investieren einige Mitglieder hier Zeit (Arbeitszeit oder Freizeit).

Geht mir nicht anders.

ein entsprechender Hinweis auf ein Doppelposting im Thread enthalten ist. Ggf. wurde das Problem ja bereits in einem anderen Forum gelöst und man kann sich die Zeit sparen.

Oder das Problem hat sich auch so gelöst, ausserhalb von irgenwelchen Foren. Ein Hinweis des Themenöffners, das das Problem nicht mehr besteht, wäre also generell wünschenswert. Das hat aber nichts mit Cross Postings zu tun.

Personen die Mühe gemacht haben, sich in das Problem einzudenken und Hilfe zu leisten. Mindestens auf einer Seite war das dann eigentlich für die Tonne.

Das ist aber auch bei nur einem Forum der Fall. Passiert z.B. relativ häufig auf SO. Einer war halt schneller beim beantworten. Ist ja kein Ticketsystem hier.

Wie ich schon schrieb, ich kann keinen Sinn in der Regelung erkennen. Aber offensichtlich bin ich damit allein, von daher muss das jetzt nicht näher vertieft werden.

[Tode]

@Sven: es ist ja nicht verboten... Der einzige Wunsch ist, dass es verlinkt wird: oft hatten wir in der Vergangenheit, dass in Forum 1 die ganzen "Standards" schon abgefragt waren, und dass dann in Forum 2 die exakt selben Fragen nochmal gestellt wurden, mit der -teils pampigen- Antwort vom Threadersteller, dass er das doch alles schon geprüft hat.. Und diese doppelte Arbeit soll die Regelung verhindern..