• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Права доступа к документам

  • Автор темы VooDoo
  • Дата начала
Статус
Закрыто для дальнейших ответов.
V

VooDoo

Реализация ваших советов идет полным планом и довольно успешно. За что еще раз спасибо.

Столкнулся с очевидной дырой в защите: при прописывании прямой ссылки в адресной строке браузера, типа Site.nsf/WebNews/C4D8EC9CCD01DB0EC225731A0041777B, где C4D8E... - закрытый документ, система пускает гостей без проблем.

Тоже самое и для видов и агентов.
Как сделать проверку в данном случае?

З.Ы. для видов проверку сделал @-функциями, т.е. задача сейчас стоит для документов и агентов.

Спасибо
 
F

fvoice

Столкнулся с очевидной дырой в защите: при прописывании прямой ссылки в адресной строке браузера, типа Site.nsf/WebNews/C4D8EC9CCD01DB0EC225731A0041777B, где C4D8E... - закрытый документ, система пускает гостей без проблем.
Нажмите, чтобы раскрыть...

в смысле закрытый? Readers/Authors?
 
V

VooDoo

Для: fvoice, в смысле не для гостей.

На сайте есть ряд документов, агентов и видов только для авторизированных пользователей.
Открытые и закрытые документы создаются по одной и той же форме с единственным различием - признаком "Открыто/Закрыто"
 
F

fvoice

Извините за невежество, но я так и не понял что за признак такой "Открыто/Закрыто" :)

Проверил у себя, не пускает...

Какой уровень доступа у Anonymous?

Обратите внимание на тот факт что после аутентификации, время "авторизованности" сохраняется за вами в течении времени указанного в поле "Idle session timeout" в серверном документе.
 
V

VooDoo

Для: fvoice, ну насчет невежетсва - это ко мне :angry:

У Anonymous уровень "читатель". Ниже никак (см. выше)

Открыто/закрыто - значение поля в форме создания документа. По нему, при отборе документов в виде, и различается кого пускать очитать "закрытый" документ, а кому поставить ссылку login.

во время сёрфинга гостем конечно на закрытые разделы не пускает. Но, повторюсь, введя прямую ссылку на документ или агент, гость может спокойно ознакомиться с содежимым.

Наверно немного сбивчиво но пояснил.

Кстати, а как именно вы проверяли? Какой уровень ставили гостю?
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
Для: VooDoo
Так доступ надо не каким-то полем "открыто/закрыто" разделять, а полем типа Readers.
 
V

VooDoo

Для: Medevic, поясните для тупых.
Вот поставил я поле Readers. Изменяемое, вычислемое? Что писать в нем? Напомню, у гостей как и у авторизированных пользователей уровень доступа "читатель"

Извините за столь примитивные вопросы, но уровень познаний у меня не очень.

Спасибо.
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
Для: VooDoo
Поместить в поле пользователей, которые должны иметь доступ к документу. Юзер логинится и, соответственно, получает доступ к этому документу.
 
V

VooDoo

Для: Morpheus
Для: Medevic

большое спасибо, попробую, и сразу же возникает вопросъ: ручками добавлять пользователей или группы довольно напряжно кажен раз, к тому же реально документы создает большое количество человек (я так понимаю, потому и сделали поле "открыто/закрыто"). Отже, возможна ли такая штука как выбор групп, но не из адресной книги? Реально, людям, работающим с формой, надо выбирать только из двух групп, например [all] и [siteusers]. Т.е. вся адресная книга им просто не нужна.
 
F

fvoice

поставьте Radiobutton Открыто/Закрыто, и вычисляемое Readers поле, которое в зависимости от значения Radiobutton-a будет заносится либо "all", либо "siteusers".
из двух групп, например [all] и [siteusers]
Нажмите, чтобы раскрыть...
группы пишутся без квадратных скобок "all" и "siteusers", "", а роли в скобках "[all]" и "[siteusers]", не перепутайте.
 
V

VooDoo

Всё, увидел закладку "Таблица управления доступом".

-1 глупый вопросъ
 
V

VooDoo

какойта небольшой глючокс проскочил:

в меню сайта прописано, что ежели пользователь не залогинился его кидает на одни страницы, а ежели залогинен то на другие по тем же ссылкам.
Так вот, зайдя на закрытую новость под логином-паролем я по идее должен был авторизироваться, но ссылки почему то всё равно ведут на общие страницы а не на закрытые. В чем глюк может быть?

Сслыки сделаны по типу @if(@UserName="Anonymous";"link1";"link2")
 
S

Sandr

Ох и понаписывали тут все...

Самый простой выход в даной ситуации:

Создаешь агент, вешаеш его на вебквериоупен, говоришь запускаться от имени ВЕБ пользователя. Агенту говоришь запускаться только от людей из определенных груп АЦЛя (не ананимусу) - лотус сам попросит залогиниться... После ввода логина и пароля документ загрузится...

VooDoo сказал(а):
какойта небольшой глючокс проскочил:

в меню сайта прописано, что ежели пользователь не залогинился его кидает на одни страницы, а ежели залогинен то на другие по тем же ссылкам.
Так вот, зайдя на закрытую новость под логином-паролем я по идее должен был авторизироваться, но ссылки почему то всё равно ведут на общие страницы а не на закрытые. В чем глюк может быть?

Сслыки сделаны по типу @if(@UserName="Anonymous";"link1";"link2")
Нажмите, чтобы раскрыть...


ссылки во вьюшке? Если да - рефрешни её...
 
S

Sandr

VooDoo сказал(а):
Для: Sandr, а мона код агента? :)
Нажмите, чтобы раскрыть...

Да в коде можешь ничего и не делать... Dim session As New NotesSession и фсе... главное на последней закладочке агента постаивть галочку "Run as WEB User", снять галочку All Readers and Above и поставить в ставшем доступным списке галочки напротив нужных тебе людей и ролей (всех кроме анонимоуса) ... Вот и все...

При открытии документа, этот агент попытается запустится на вебквериоупен, обнаружив, что пользователь не имеет права его запускать, спросит логин и пароль...
 
V

VooDoo

Для: Sandr, хм... создал агент, в Initialize ставил Dim session As New NotesSession и фсе, поставил нужные галочки в свойствах агента. На форму по которой открываются новости, поставил на вебквериопен @Command([ToolsRunMacro]; "lock");... и ничего.
По запросу lock?OpenAgent - говорит, не найдено что вы просите.

Точно ничего не надо больше песать?
Плюс сразу возникает вопрос, а как жеж быть с открытыми документами? На них ведь агент не нужен.

Спасибо.
 
S

Sandr

запросу lock?OpenAgent - это зачем? Если на вебквериопен @Command([ToolsRunMacro]; "lock"), то этого достаточно.. агент сам отработает при открытии документа... Ссылки на доки должны быть самыми обычными, на подобии ...\unid?OpenDocument. Что это дает - авторизированный пользователь при открытии дока имеет право запускать агент, док откроется без всяких проблем, неавторизированные пользователи не имеют права запускать агент, лотус попросит авторизироваться, после авторизации док продолжит открываться.

"а как жеж быть с открытыми документами?" - этого вопроса не понял. Или я не так понял суть задачи?... Есть вьюха с доками, любой юзер должен видить эти доки, но открыть может только авторизированный юзер - я правильно понял суть? Если правильно, то с открытыми доками траблов быть не должно, так как юзер уже авторизировался, прежде чем док открылся...
 
V

VooDoo

Для: Sandr lock?OpenAgent я запускал дабы проверить воообще работу агента, т.к. он не срабатывал при открытии документов. Однако, мне кажется я понял в чем загвоздка: сечас документы открываются по ссылке /unid. По всей видимости добавление ?OpenDocument решит проблему (щяз проверю).

Задача полностью стоит так: есть два вида документов - "открытые" и "закрытые". Открытые должны быть видны всен, в том числе и не авторизированым пользователям (Anonymous). При использовании данного агента по всей видимости закрыте и открытые доки надо будет выводить как то отдельно, если я правильно понимаю?

Идеальный вариант решения, какой я вижу сейчас, это создание 2-х представлений: одно для анонимов, в нем представлены ссылки-заголовки всех документов, но на закрытые документы стоит что -то вроде /login, т.е. требование залогиниться. При этом после логина пользователя должно перекидывать на закрытую новость. Сейчас у меня перекидывает просто на страничку с надпись а-ля "Поздравляем, вы вошли". Второе представление дает ссылки на все доки.

По сути, если Правильно реализовать первое представление, то задача решена. Только каг?
 
V

VooDoo

Для: fvoice, попутно попробовал использовать совет с полями readers/autors. Штука отлично решает проблему с заходом по прямым ссылкам, в том плане что пускает только кого надо. НО!!! Объяните не сведущему, почему, назначив пользователю Anonymous роль [all] и создав документ с доступом для [all] его тупо не пускает???
При этом роль [all] назначена также, например мне любимому, которому также присвоена роль [subscribers] и когда я логинюсь - меня прекрасно пускает в эту самую новость.

Ребята, что ж делать то?
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ