Domino 9 und frühere Versionen > ND8: Entwicklung - XPages
Berechtigung Dateidownload XPages
ubbser:
Hallo Zusammen,
ich habe im Rahmen eines Pen-Tests eine Fehlermeldung erhalten, welche mich sehr verwundert. Ich hoffe hier vielleicht ein paar hilfreiche Tipps zu erhalten, mit denen ich das Problem beheben kann.
Die Anwendung basiert auf XPages und wird lediglich über den Browser aufgerufen.
Die gepflegten Dokumente sind alle mit Leser und Bearbeiterfelder versehen.
Die zugehörige XPage hat ein DateiDownload-Steuerelement mit einer entsprechenden Datenbindung.
Wenn ein autorisierter Anwender nun den vom Steuerelement generierten Link, vgl. Beispiel
https://<URL>.nsf/xsp/.ibmmodres/domino/OpenAttachment/<DB>/<UNID>/<FELD>/<ANHANG>.xls
versendet und ein nicht autorisierter Anwender (nicht im Leser- / Bearbeiterfeld) diesen Link aufruft, wird im trotzdem die Datei angeboten.
Mit der alten Systematik
https://<URL>.nsf/0/<UNID>/$File/<ANHANG>.xls
kommt wie erwartet die Serveranmeldemaske.
Dieses Verhalten tritt sowohl bei Domino 8.5.3 FP5 als auch bei Domino 9 auf. Beide Server sind standardmäßig konfiguriert.
Habe ich irgendetwas übersehen, da ich mir nur schwer vorstellen kann, dass es eine "echte" Sicherheitslücke ist.
Denn dies würde bedeuten, dass ich einem fremden Anwender einen Link schicken kann und sollte z.B. Anonymous auch nur als Einlieferer gesetzt sein in der ACL, ist der unberechtigte Download der Datei möglich.
Ich bin dankbar für jede Unterstützung.
Sven Hasselbach:
Kann ich nicht bestätigen. Zum Einen habe ich mal einen Test mit entsprechendem Versuchsaufbau gemacht, zum Anderen mir den beteiligten Code des Servlets angeschaut. Es gilt die Weisheit: "Ein Leserfeld bleibt ein Leserfeld bleibt ein Leserfeld."
Wenn eine Attachment über das Resource Servlet aufgerufen wird, und man hat Zugriff auf die DB, die das Servlet bedient (z.B. als Depositor), erhält man über die URL eine Antwort mit der gewünschten Datei (also ein 200er Return Code vom Server und ein MIME Objekt passend zur Extension). Allerdings ist diese leer.
Bsp.
--- Code: ---http://example.com/domcfg.nsf/xsp/.ibmmodres/domino/OpenAttachment/pfad/zur/db.nsf/00000000000000000000000000000000/FELD_NICHT_VORHANDEN/KEINE_DATEI.xls
--- Ende Code ---
liefert ein Excel-Sheet zurück. Ändert man das in .doc, gibt es ein Word Dokument.
Am Beispiel sieht man auch, wie gravierend der Bug wäre: Durch den Aufruf der domcfg.nsf, auf die jeder Zugriff hat, könnte man auf alle anderen DBs zugreifen, die es gibt.
Wenn man etwas drüber nachdenkt, ist dieses Verhalten sogar eher ein Sicherheitsfeature denn ein Problem, denn so kann ein Angreifer nicht per Brutforce auf existierende DocUNIDs und Felder testen.
ascabg:
Hallo,
Ich will ja nicht noergeln, aber warum immer wieser dies hier.
Dominoforum
Andreas
Sven Hasselbach:
Ich weiß, es steht in den Forenregeln drin, aber mal Interessehalber:
Was soll mit dem Verbot eigentlich konkret erreicht werden?
ascabg:
--- Zitat von: Sven Hasselbach am 29.09.14 - 08:33:25 ---Ich weiß, es steht in den Forenregeln drin, aber mal Interessehalber:
Was soll mit dem Verbot eigentlich konkret erreicht werden?
--- Ende Zitat ---
Das muss Du diejenigen fragen, die die Regeln aufgestellt haben.
Und direkt verboten ist es doch nicht.
Der Threadersteller soll halt, wenn er denn auch noch zeitgleich in einem weiteren Forum dieses Problem zur Diskussion stellt,
einen entsprechenden Hinweis einstellen.
Anderenfalls wird er sich somit sehr "beliebt" machen und je oefter er so verfaehrt, um so geringer wird der Antrieb der anderen
Forenteilnerhmer werden, ihm entsprechende Hilfestellungen zu geben.
Andreas
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln