Archiv der Kategorie: Security

Security: Fernsteuerbare DocumentDataSources

Publiziert am 12. Januar 2012 von Sven Hasselbach

Analog zu den ViewDataSources lassen sich auch DocumentDataSources über die Adresszeile des Browsers manipulieren: Der URL-Parameter databaseName ermöglicht hierbei die Steuerung der zugrundliegenden Datenbank, und überschreibt einen eventuell in der XPage hinterlegten Wert. <?xml version=“1.0″ encoding=“UTF-8″?> <xp:view xmlns:xp=“http://www.ibm.com/xsp/core“>    <xp:this.data> … Weiterlesen

Veröffentlicht unter Allgemein, JSF, Security, Server, Web, XPages | Verschlagwortet mit , , , , , , | 4 Kommentare

Security: Domino Server Backdoor

Publiziert am 8. Januar 2012 von Sven Hasselbach

Mit XPages lässt sich ein Domino Server auf einfachste Weise lahm legen, da man über die Java Runtime beliebige Threads starten kann. Ein kleiner Button startet z.B. Notepad auf einem Windows Domino Server: <xp:button value=“Start NotePad!“ id=“buttonStartNotePad“> <xp:eventHandler event=“onclick“ submit=“true“ … Weiterlesen

Veröffentlicht unter Allgemein, Security, Server, XPages | Verschlagwortet mit , , , , , | 12 Kommentare

Security: Fernsteuerbare ViewDataSources

Publiziert am 30. Dezember 2011 von Sven Hasselbach

Ist bei einer Datenbank die Option „Don’t allow URL open“ gesetzt, ist sie nicht mehr im Web erreichbar. Mit den URL-Parametern databaseName und viewName lässt sich in Verbindung mit einer ViewDatasource dieser Schutzmechanismus jedoch aushebeln, und könnte ein Problem darstellen, … Weiterlesen

Veröffentlicht unter JSF, Security, Server, Web, XPages | Verschlagwortet mit , , , , , , | Ein Kommentar