• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Web, Word, двойная авторизация

  • Автор темы abbatik
  • Дата начала
A

abbatik

Друзья, подскажите.

Боремся уже не первый день, но пока тщетно.

Ситуация следующая:
1. Обычный юзер заходит через web в доминошную базу, если на странице, которую он открывает есть данные из нескольких баз, то выскакивает несколько окон авторизации.
2. Вторая ситуация похожа. Если (по нажатию кнопки, из агента принтами через VB) создается объект Word, то прямо в ворде мы видим лотусовую авторизацию.

Если заходить с админскими правами, такой проблемы не наблюдается.

Видимо где-то в сервер-документе не хватает какой-то галки. Если кто знает, подскажите где посмотреть?

Заранее благодарю.
 
A

Akupaka

это Session authentification. или серверный документ Domino Web Engine, или документ Web Site (если так настроено)
 
A

abbatik

это Session authentification. или серверный документ Domino Web Engine, или документ Web Site (если так настроено)

Там Single Server стоит.

В серверном документе что именно посмотреть? Я уже все перерыл несколько раз.

Web Site-а нет.
 
H

hosm

К п.1
А данные из баз на одном сервере? Single Server влияет на всех пользователей, так что дело не в нем :lol:
Время сессии тоже вроде устанавливается для всех ...
Судя по тому, что под админом все работает, возможен также вариант, что у обычных пользователей нет нужного доступа к базам или документам (или прав на создание документов, если на странице есть команды типа ?OpenForm): если у юзера нет достаточных прав, то в вебе выскакивает сообщение "You are not authorize to perform this operation" с окном авторизации.
 
A

Alexander (Criz)

а что в domlog ? Урл правильный?
 
A

Akupaka

Судя по тому, что под админом все работает, возможен также вариант, что у обычных пользователей нет нужного доступа к базам или документам (или прав на создание документов, если на странице есть команды типа ?OpenForm): если у юзера нет достаточных прав, то в вебе выскакивает сообщение "You are not authorize to perform this operation" с окном авторизации
если такое будет, то придется делать такие формы публичными "public access", ну и соотв. раздавать права. на публичных формах очень важно не забыть SaveOptions в "0" установить, либо по формуле считать, если доки по таким формам должны сохраняться...
 
A

abbatik

точно?.. якась фигня...
а Store Web user preferences in cookies на той же странице?
а время сессии?..

Там Multi-server

К п.1
А данные из баз на одном сервере? Single Server влияет на всех пользователей, так что дело не в нем :)
Время сессии тоже вроде устанавливается для всех ...
Судя по тому, что под админом все работает, возможен также вариант, что у обычных пользователей нет нужного доступа к базам или документам (или прав на создание документов, если на странице есть команды типа ?OpenForm): если у юзера нет достаточных прав, то в вебе выскакивает сообщение "You are not authorize to perform this operation" с окном авторизации.

Да, сервер один.
Да, именно с доступом и ковырялись. Выяснилось, что различие было в наличии галки про ананимусов, в сервер документе. Но как вы правильно догадались, это решение, мягко говоря не самое лучшее :) Сейчас пытаемся выяснить можно ли галку поставить только в сервер документе, а на базах ананимусам доступ закрыть.
 
A

abbatik

а что в domlog ? Урл правильный?

Не очень понял про что вы.
Я думаю, что с урлами все ок, т.к. в остальном все работает.

а предложенное OKEN проверил?..

С созданием документов проблем нет.
Есть проблемы:
1. С вордом, при попытке его заполнения.
2. С двойной авторизацией вначале.
 
A

Akupaka

двойная авторизация возникает в какой момент? что при этом делает пользователь (чтобы ее получить)?
 
A

Akupaka

это БР 3.х?.. проверь доступ пользователя ко всем БД, думаю, что это именно вариант OKEN
 
H

hosm

Ну, у нас на серверах не стоит серверная галка, разрешающая доступ анонима.
У нас для большинства вебных БД был настроен ацл для Анонимуса (обычно NoAccess) и группы для серверов, пользователей и админов. Что там при установке баз сделали в ацл у вас, я не знаю )))
Кстати, тогда учти и предложение Akupaka насчет Public Access. :)
 
A

abbatik

Ну, у нас на серверах не стоит серверная галка, разрешающая доступ анонима.
У нас для большинства вебных БД был настроен ацл для Анонимуса (обычно NoAccess) и группы для серверов, пользователей и админов. Что там при установке баз сделали в ацл у вас, я не знаю )))
Кстати, тогда учти и предложение Akupaka насчет Public Access. :)

Повезло вам :) В том то и фишка, что у нас нормально все, а вот у заказчика траблы :) Но вот в чем различие... вышеописанная мной галка помогла, но это не вариант, все это понимают :)

По поводу public access, думаю тоже не вариант.

это БР 3.х?.. проверь доступ пользователя ко всем БД, думаю, что это именно вариант OKEN

Нет. Ты такого точно не видел :)
Это веб-версия одного из мутантов, только запускаем ее.
 
A

Akupaka

ну... когда найдешь причину, напиши, очень интересно :)
 
K

K-Fire

Вообще то если открывается фреймсет, и в нем 4 фрейма, пусть даже все 4 обращаются к одной и той же базе, то получим 4 окошка авторизации. Это если фреймсет публичный, или в находится в другой базе к которой есть доступ.

Возможное решение: засовываете этот фреймсет в другой фреймсет с 1м фреймом, у которого формула содержимого фрейма что-то типа такого:
Если ты анонимус - открываем логин-форму (или урл с ?login), если не анонимус - открываем фреймсет.
 
A

abbatik

Вообще то если открывается фреймсет, и в нем 4 фрейма, пусть даже все 4 обращаются к одной и той же базе, то получим 4 окошка авторизации. Это если фреймсет публичный, или в находится в другой базе к которой есть доступ.

Возможное решение: засовываете этот фреймсет в другой фреймсет с 1м фреймом, у которого формула содержимого фрейма что-то типа такого:
Если ты анонимус - открываем логин-форму (или урл с ?login), если не анонимус - открываем фреймсет.

Тоже не вариант, потому что если нет анонимуса, при любом следующем обращении к другой БД потребуется логин.
 
K

K-Fire

Хмм, по-моему анонимус тут вообще не причем. Логинится юзер на сервер, и сессия висит пока не закрыт браузер.
Т.е. если у юзера нормальный доступ к разным базам, пароль не должен требоваться вообще.


Кстати, проверьте такую штуку: когда идет обращение к другой базе из текущей, совпадают ли урлы? Т.е. имя сервера, имя папки должны быть полностью в одинаковом регистре. Я натыкался на проблему, когда в имени папки были разные буквы, например Docflow и DocFlow и в результате еще требовался логин к той же самой базе что уже открыта.
 
A

abbatik

Хмм, по-моему анонимус тут вообще не причем. Логинится юзер на сервер, и сессия висит пока не закрыт браузер.
Т.е. если у юзера нормальный доступ к разным базам, пароль не должен требоваться вообще.


Кстати, проверьте такую штуку: когда идет обращение к другой базе из текущей, совпадают ли урлы? Т.е. имя сервера, имя папки должны быть полностью в одинаковом регистре. Я натыкался на проблему, когда в имени папки были разные буквы, например Docflow и DocFlow и в результате еще требовался логин к той же самой базе что уже открыта.

Вы по поводу анонимуса на основе опыта утверждаете, или это ваше мнение такое? Если не основе опыта, то поделитесь познаниями :)

URL-ы проверил, вроде совпадают. Только вот урлы явно не при чем, при создании объекта ворда, в документе которого появляется лотусовый логин %)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!