• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Настройка Domino Access (Data) Services

savl

Lotus Team
28.10.2011
2 591
309
BIT
138
Добрый.

Помогите, пож-та, настроить Domino Access Services.
В серверном документе указал Data
В базе галочку поставил Data & View
Во вьюхе галочку поставил.
Открываю .../api/Data/Collections/
Результат: Ошибка 403 "Forbidden"
Анонимуса в ACL нет, но если обратиться к базе, то фреймсет открывается, документы тоже.
Сделал страницу где показывается Username - страница открылась.
Что я делаю не так?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Ну обычная команда /db/view?OpenView дает доступ?
 

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
Попробуйте в серверном доке, в Security - Programmability Restrictions, указать везде (а может только для XPages) группу, куда Вы входите. И перегрузите http.
 

savl

Lotus Team
28.10.2011
2 591
309
BIT
138
Делали, не помогло.
Interner Site Document, тоже правил, прописывал PUT/GET и тд...
Везде включена Data.
Я вот думаю, может ли это быть из-за авторизации? У нас она выключена...
Если names.nsf открыть пробуешь - то надо указать логин/пароль.
Для обращения к двум базам(для веб-сервисов) - не надо.
Если я включу авторизацию и сделаю basic, то запуск WS без авторизации сохранится?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Я вот думаю, может ли это быть из-за авторизации? У нас она выключена...
Ну то что надо разобратся с авторизацией - это очевидно)

Для обращения к двум базам(для веб-сервисов) - не надо.
ну там просто доступ анонимуса разрешен....

Это как бы рест сервис и если доступ к базе есть у анонимуса - то оно само даст 403.
если у базы нет доступа и вкл базик авторизация. то будет запрос пароля через диалог.
Если вкл сессионную авторизацию то запрос будет содержать сесионну куку.
 

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
еще можно очистить весь кеш броузера (кеш + куки)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
не совсем понял про доступ анонимуса...
у мя есть БД, в кот. анонимус может читать/писать, авторизация есть, у анонимуса она, естественно, не запрашивается
DAS работает (я уже и примеры XHR приводил, на PATCH)
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Ну у меня то же работает) Тут дело в том, что при некой комбинации АСЛ базы вьюхи и т.п. при обращениии к сервису дает 403 без запроса авторизации.
Тут или сервис звать всегда через явную авторизацию внешней прогой (ну типа urlConnection.setRequestProperty("Authorization", "Basic " + encoding);) или если хочется через браузер - то авторизоватся в базе , а потом дерогать сервис.
На самом деле там все просто - надо только потыкатся))

Есть правда засада, которая заключается в том, что DAS может пока не все.
Например - не может передавать поля Date\Time если они пустые, doclink RTF только с опцией &multipart=false...
Причем оно не кидает эксепшен в поток, а тупо его обрывает в виде невалидного джейсона
"ListResultResearch":
{
"type":"multipart",
"content":
}
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
хм.. как ни странно завелось после прописывания
Службы доступа Domino
Следующий параметр является заполнителем для служб, предоставляемых внешним подключаемым модулем. Дополнительные сведения см. на вики-сайте IBM Notes и Domino.
Включенные службы: Data, Calendar
а то у мну там по умолчанию по русски было написано - Данные)))
ну и http перезапустить..

кто нить подскажет вот это лечится?? :
"@title":"($\u0412\u0441\u0435 \u0434\u043E\u043A\u0443\u043C\u0435\u043D\u0442\u044B - \u0434\u043B\u044F \u0432\u044B\u0431\u043E\u0440\u043A\u0438)",
 

savl

Lotus Team
28.10.2011
2 591
309
BIT
138
@swyatogor utf-8 кодировкой только... У меня так же отображается, но как только начинаешь записывать это в репитер, то все читаемо.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!