以下内容并不是教你怎么攻击服务器,而是教你怎么防范自己的DOMINO系统。所有因为本文而造成的损失与作者无关。
首先,我们知道DOMINO在可以运行在多个平台下,例如LINUX、UNIX、WINDOWS等,很多情况下在服务器的操作系统中存在着多个用户,而恰好如果某个用户可以访问并能修改在操作系统下的数据库的话,那么DOMINO自身的校验机制将没有任何作用,这一点实际上很容易理解,就如同我们在本地修改数据库的ACL。所以首先第一点、确保你的DOMINO所在的目录只有相关人员可以进行访问。DOMINO系统的安全的大前提是服务器的操作系统的安全。
其次,我们在使用DOMINO的时候,经常会修改一些模版,如DOMCFG.NSF,Mail50.NTF等,这些数据库、模版的缺省DEFAULT的权限就是编辑者的,也就是说:我们可以达到修改模版的目的来修改数据库!说到这里,各位应该心里有数了吧?也就是说,DOMINO自己的用户,即使不是管理员,也可以修改数据库的。
第三、我们来看看NAMES.NSF这个系统配置库。只要你有一个用户名,你会发现,你可以看到服务器的配置信息。也就是说,为什么网上的那些提供测试用户的数据库安全性很低的原因了。至于具体方法,我就不在这里多说了。解决办法,所有的关系的配置的视图,用缺省的页面来显示,假设是people这个视图,我们建一个页面 \$\$ViewTemplate for (people)来显示视图,在这个页面的ONLOAD事件里面用JS直接关闭就可以了,这样用户将不可以通过WEB来访问视图,也不可以从视图上把用户的ID拆离下来了。
第四、文档删除的权限控制,各位可以检查一下自己的系统,用一个没有删除权限的用户点开文档,在地址栏里通过?deletedocument参数来试试看能不能删除文档。
- 相关阅读:
- ·可远程访问 WHR-HP-G300N京东商城299元
//net.zol.com.cn/309/3094295.html - ·微软限制对Wi-Fi位置数据库的访问
//net.zol.com.cn/242/2422616.html - ·加快远程访问 F5方案优化微软UAG2010
//net.zol.com.cn/162/1623126.html - ·希捷发布网络适配器提供远程数据访问
//net.zol.com.cn/148/1488967.html - ·IBM Lotus Domino 邮件服务器配置攻略
//net.zol.com.cn/105/1052918.html
超稳定的双2.5G口高端路由性价比之王 中
解决家庭WiFi难题的救星 中兴巡天路由图
焕新出发 锐捷网络战略全面升级
锐捷+腾讯“威胁情报”战略合作发布会
2022年中小企业精选产品/方案评选
2021年华为全场景智慧生活新品发布会