热点推荐
ZOL首页 > 网络设备 > 产业 > Lotus Domino绕过校验机制远程访问数据库

Lotus Domino绕过校验机制远程访问数据库


【转载】 2007年09月14日 10:31 评论

    以下内容并不是教你怎么攻击服务器,而是教你怎么防范自己的DOMINO系统。所有因为本文而造成的损失与作者无关。

    首先,我们知道DOMINO在可以运行在多个平台下,例如LINUX、UNIX、WINDOWS等,很多情况下在服务器的操作系统中存在着多个用户,而恰好如果某个用户可以访问并能修改在操作系统下的数据库的话,那么DOMINO自身的校验机制将没有任何作用,这一点实际上很容易理解,就如同我们在本地修改数据库的ACL。所以首先第一点、确保你的DOMINO所在的目录只有相关人员可以进行访问。DOMINO系统的安全的大前提是服务器的操作系统的安全。

    其次,我们在使用DOMINO的时候,经常会修改一些模版,如DOMCFG.NSF,Mail50.NTF等,这些数据库、模版的缺省DEFAULT的权限就是编辑者的,也就是说:我们可以达到修改模版的目的来修改数据库!说到这里,各位应该心里有数了吧?也就是说,DOMINO自己的用户,即使不是管理员,也可以修改数据库的。

    第三、我们来看看NAMES.NSF这个系统配置库。只要你有一个用户名,你会发现,你可以看到服务器的配置信息。也就是说,为什么网上的那些提供测试用户的数据库安全性很低的原因了。至于具体方法,我就不在这里多说了。解决办法,所有的关系的配置的视图,用缺省的页面来显示,假设是people这个视图,我们建一个页面 \$\$ViewTemplate for (people)来显示视图,在这个页面的ONLOAD事件里面用JS直接关闭就可以了,这样用户将不可以通过WEB来访问视图,也不可以从视图上把用户的ID拆离下来了。

    第四、文档删除的权限控制,各位可以检查一下自己的系统,用一个没有删除权限的用户点开文档,在地址栏里通过?deletedocument参数来试试看能不能删除文档。

下载 数据库MIS系统 7.0 请点击://xiazai.zol.com.cn/detail/4/30288.shtml
给文章打分 5分为满分(共0人参与) 查看排行>>
频道热词:工作站  云计算  服务器  
视觉焦点
企业网络产业热点
排行 文章标题
TOP10周热门无线上网卡排行榜
  • 热门
  • 新品
查看完整榜单>>