• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Принципы авторизация Web приложений на Lotus.

  • Автор темы krn
  • Дата начала
K

krn

Привет всем! Возникла проблема - как организовать авторизацию пользователей к web приложению на Lotus. Хочу сразу заметить, что авторизация должна быть не средствами Lotus Domino, а средствами конкретного приложения. Т.е. пользователь заходит на сайт, регистрируется, и получает доступ к личной информации. Авторизация, как я понял, должна осуществляться через cookie, но как это сделать - не приложу ума. Буду очень признателен, если кто-нибудь осветит сам принцип авторизация web приложений на Lotus или укажет соответствующую литературу.

Всем спасибо.
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
один из способов, который я делал это эмуляция сессии, как это порой делают на форумах
1) При первом входе на сайт каждому юзеру генерируется сессия, я для этого создавал документ в который вносил всё что смог снять с пользователя(его ИП, прокси и т.д.)
2) ко всем ссылкам добавлял UNID документа в котором содержится инфа о пользователе, получалось что-то типа \\ru.ru\1212123123123&Ses=322324235235
3) при открытии каждой ссылки проверял сходится ли полученная инфа с той, что передается через сессию (чтобы не возникла ситуация, когда пользователь копирует урл и раздает другим)
4) такой документ сесия, при открытии новых страниц постоянно обновлялся что позволило мне четко знать жив польователь или нет
5) через 15минут документ сесия прибивался, считал что пользователь ушел с сайта в оффлайн и логониться ему приходилось заново

Итог имеетм авторизацию не через доминошные механизмы ;)
 
K

krn

ToxaRat сказал(а):
один из способов, который я делал это эмуляция сессии, как это порой делают на форумах
1) При первом входе на сайт каждому юзеру генерируется сессия, я для этого создавал документ в который вносил всё что смог снять с пользователя(его ИП, прокси и т.д.)
2) ко всем ссылкам добавлял UNID документа в котором содержится инфа о пользователе, получалось что-то типа \\ru.ru\1212123123123&Ses=322324235235
3) при открытии каждой ссылки проверял сходится ли полученная инфа с той, что передается через сессию (чтобы не возникла ситуация, когда пользователь копирует урл и раздает другим)
4) такой документ сесия, при открытии новых страниц постоянно обновлялся что позволило мне четко знать жив польователь или нет
5) через 15минут документ сесия прибивался, считал что пользователь ушел с сайта в оффлайн и логониться ему приходилось заново

Итог имеетм авторизацию не через доминошные механизмы ;)
Нажмите, чтобы раскрыть...

Спасибо за общую информацию. Не могли бы вы более детально описать, с примерами кода ключевых моментов, например, таких как генерация сессий.

Спасибо.
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Спасибо за общую информацию. Не могли бы вы более детально описать, с примерами кода ключевых моментов, например, таких как генерация сессий.
Нажмите, чтобы раскрыть...
и не надейтесь, я даю лишь идею, дальше сами ;)
мне нравится когда люди думают :)
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ