• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Проблема с доступом к базе через Web (learningspace)

  • Автор темы ledi
  • Дата начала
Статус
Закрыто для дальнейших ответов.
L

ledi

Добрый день, уважаемые лотусисты.

Возникла у меня такая проблема, которую не могу решить сам. Хочу попробовать с помощью коллективного разума.

Была у компании IBM разработка под названием LearningSpace - система дистанционного образования. У меня стоит старая версия 3.6, т.к. она всех устраивает.
Стояла эта система на Linux Mandrake и Domino 5.0.8.
Было создан курс, который могли посмотреть все через инет (был открыт анонимный доступ). курс замечательно открывался по адресу .

После этого мигрировали на Винду и Domino 7.0.2.
Суть миграции заключалась в следующем: Поставили Domino, перед первым запуском подложили server.id, names.nsf и правленый notes.ini.
ВАЖНО! При настройке указали, что запретить всем анонимный доступ. . Все заработало. Переместили папку с курсами - все заработало. Кроме этого курса.
В ACL для дефолта стоит значение... да неважно какое - хоть управляющий - по приведенной выше ссылке запрашивает логин/пароль.
А если в ссылке написать вот так: то анонимно зайти можно.

Разница между этими двумя ссылками в том, что по первой ссылке не открывается фреймсет, а по второй - открывается вьюха.

Вопрос - почему так и как можно это победить?
 
K

Klido

только эта база не открывается?

ВАЖНО! При настройке указали, что запретить всем анонимный доступ.
что именно сделали?

вообще, даже если доступ по настройкам сервера анонимусам заперщен+указан обязательный логин-пароль, а на базе для анонимуса стоит хотя бы ридер - работает без вопросов...
 
L

ledi

только эта база не открывается?

С остальными базами проще - они с доступом по паролю. Так что там у дефолта прав нет.

что именно сделали?

вообще, даже если доступ по настройкам сервера анонимусам заперщен+указан обязательный логин-пароль, а на базе для анонимуса стоит хотя бы ридер - работает без вопросов...

Привет, это Дима Лебедев.
К сожалению, я тоже так думал. Сейчас дал анонимоусу права управляющего - та же хрень. Я уже и с Шустером над этим бился и все равно.
Такое подозрение, что кто-то на этот курс пошептал. :))))

Я даже сервер перегрузил, после того, как права раздал.
 
K

Klido

в 7-ке усилили безопасность и пофиксили много дыр по хттп, скорее всего где-то тут порылось животное...
если напрямую док открывается, а по линку - нет...
а поэкспериментировать вроде


С остальными базами проще - они с доступом по паролю. Так что там у дефолта прав нет.
дык попробовать дать старой базе анонимуса - что будет?
кстати, анонимус просто или в []?

в свойствах базы стоит фреймсет открыть? сам сет смотрели на предмет чего-то эдакого? например, вцычисляемый контент во фрейме, к которому доступа нет?
 
L

ledi

в 7-ке усилили безопасность и пофиксили много дыр по хттп, скорее всего где-то тут порылось животное...
если напрямую док открывается, а по линку - нет...
а поэкспериментировать вроде

Ну, я попробовал - не помогло.

дык попробовать дать старой базе анонимуса - что будет?
кстати, анонимус просто или в []?

Это и есть старая база. просто из-под Линукса база была скопирована на винду.
Анонимаус без []. Я написал и Anonimous и Anonymous. Права на доступ - читатель.

в свойствах базы стоит фреймсет открыть? сам сет смотрели на предмет чего-то эдакого? например, вцычисляемый контент во фрейме, к которому доступа нет?
Это разработка IBM и ее дизайн скрыт. Так что даже поменяв 20 на 00 я не вижу всех элементов дизайна. :)
Просто неприятно, когда на старой версии Домины работало, а на новой - работает, но не так, как надо.
 
K

Klido

Цитата(Klido @ 3:12:2009, 14:02 ) *
дык попробовать дать старой базе анонимуса - что будет?
кстати, анонимус просто или в []?

Это и есть старая база. просто из-под Линукса база была скопирована на винду.
я имел ввиду какой-то другой базе дать похожие права и попробовать открыть её - для сравнения...

да, а если вводить тут при запросе логин-пароль - работает?

Добавлено:

хоть и 2004, но мног ополезного... проверяйте все настройки доступов - в серверном доке, в сайте, в базах и пр.


Enabling Basic Authentication and Anonymous Access
By default, port 80, basic name and password authentication, and anonymous
access are enabled for access to Domino. When the server is originally
configured, the administrator will have the option to enable or disable anonymous
access to existing databases and templates. For better security, select to disable
anonymous access to existing databases when initially configuring your server.
This will prevent unintentional anonymous access to important databases that are
included by default such as the directory and log files. You can always go back
and add anonymous access as necessary to individual databases.
The setting for port 80 can be viewed and edited in the server document of the
Domino directory on the Ports-Internet Ports-Web tab.
The settings for basic name and password authentication and anonymous access
to the server can be found on the Security tab of the Internet Sites document in
the Domino directory. This document is new to version 6.x of the Domino server.
Many of the settings now found in the Internet Sites document of the Domino 6.x
server were formerly found on the Ports-Internet Ports-Web tab of the server
document. (By default, the settings in the Internet Sites document apply to all
servers in the Domino domain.) The following screen shot displays anonymous
and basic authentication settings on the Internet Sites document. Page 11

As part of the Information Security Reading Room
Author retains full rights.
If you want to completely disable anonymous access to the servers in the Domino
domain, change the anonymous field in this section of the Internet Sites document
to "No".
The Domino domain web servers can be set up to allow anonymous connections
only to particular databases. For this to work, leave anonymous access set to
"Yes" in the Internet Sites document and permit or deny anonymous access to
particular databases by using an Access Control List (ACL).
The screen shot below displays the ACL on a Domino database. This ACL does
not allow anonymous access. If a user tries to access this database with a
browser, the user will be prompted to authenticate. It is important to note that if
you do not have the "Anonymous" keyword in the ACL, anonymous users will
have whatever access the "Default" user has. If allowing anonymous access to
the server, it is very important to review the ACL's on all databases for
anonymous and default keywords to ensure anonymous access is only permitted
as intended.
 
L

ledi

я имел ввиду какой-то другой базе дать похожие права и попробовать открыть её - для сравнения...

да, а если вводить тут при запросе логин-пароль - работает?

Добавлено:

хоть и 2004, но мног ополезного... проверяйте все настройки доступов - в серверном доке, в сайте, в базах и пр.

При вводе логина-пароля все работает.
У меня нет сайтов, т.к. он всего один и все прописано в настройках сервера.
Ладно - будут люди через инет смотреть не на фреймсет, а на страничку. :)
 
K

Klido

У меня нет сайтов
а надо бы сделать, т.к. с 6-ки это новый вид настроечного серверного документа - и так мало ли что и как обновилось при апгрейде в АК... рекомендовал бы создать... результат комбинаций всех настроек может выдавать разные результаты....
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!