• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Обход Acl

  • Автор темы Автор темы susinmn
  • Дата начала Дата начала
S

susinmn

Давно обсуждалась темка о том, что в бд где по умолчанию в ACL стоит No Access пользователь стучится скриптом из другой бд и хочет что-то посмотреть. не могу найти...
Так вот есть бд1 с -Default- No Access и из бд2. желательно по кнопке в бд2 сделать выбор с помощью @PickList из бд1. Прописал в ACL бд1 доступ ReplicaID бд2 (и с *:* и без)
Вопрос: как правильно реализовать данный, и если не получится данный, то похожий механизм?
 
susinmn
из БД2 запускать агент, который уже под правами админа ломится в БД1

Добавлено: susinmn
ну а самый правильный вариант это из БД2 запускается агент по расписанию, и создаёт в своей родной базе документ со списком из БД2, тем самым давая пользователю сразу готовый список без каких либо ломлений в другую БД
 
вот темка https://codeby.net/threads/30263.html?hl=yerke
прописал в бд1 репликуid бд2, дал права ридерс. в бд2 пользователь, у которого в бд1 нет доступа, запускает *Run in background..* агента, в агенте прописал *Run on behalf of* себя.
При сохранении пишет *A runtime error will ocсur if this agent requires user interaction. Interactive agents cannon be run in a background client thread. Do you wish to save?*
И при запуске его пользователем говорит, мол к бд1 нет доступа.
Может, я что-то не догоняю и придется в бд1 давать по умолчанию доступ, а на post open в бд запрещать вход?)
 
Interactive agents cannon be run in a background client thread.
а зечем нужно, чтоб он в бекграунде запускался? возможно, тогда стоит подкорректировать Target агента?
Добавлено: Или учесть это:
The only limitation on the background thread agents is that as with background agents, these agents cannot have UI functions.
Вообще-то это просто варнинг.

*Run on behalf of* себя.
А у Вас есть доступ к бд1, этот агент не работает только для пользователей, определяющихся по дефолту как те, кто не имеет доступа?

Добавлено: вообще-то это изначально должно было работать для агентов по расписанию, мож, в этом суть?
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab