Über…
Das ist das Blog von Sven Hasselbach über Themen aus der Entwicklung und alles, was ihm sonst so durch den Kopf geht.
Seit 2003 als freiberuflicher Entwickler deutschlandweit im Einsatz, mit dem Schwerpunkten Lotus Notes & XPages, Spring, Java & OSGi
IBM ICS Champion 2013
Um Kontakt mit mir aufzunehmen, einfach eine eMail an contact<at>hasselba.ch schicken oder mich bei XING finden:
Projektanfragen sind immer willkommen!
Schlagwort-Archive: Security
Security: Usefull HTTP Response Headers
Here is a list of usefull HTTP headers for responses you should know about: X-Content-Type-Options When set to „nosniff„, this header will prevent browsers from MIME-sniffing a response away from the declared content-type. While this header is more relevant for … Weiterlesen
REST & Security: CSRF Attacks
In this post I will demonstrate how a do a CSRF attack against a XPages REST service. Let’s assume that we have a custom REST service on a XPage. To keep the example as simple as possible, this service returns … Weiterlesen
REST & Security
I am currently wearing my white hat and doing some pen and vulnerabilty tests for a RESTful API. While this is actually a hot topic in the Domino world, here are some resources: CSRF & REST: Stateless CSRF Protection Stateless Session … Weiterlesen
Security: Another XSS Vulnerability in Domino
Stephan Wissel wrote about a XSS vulnerabilty for Domino servers (< 8.5.4) and in his post you will get an advise how to protect your domino server against this attack. Thanks for this! Works great! But there is still a … Weiterlesen
Veröffentlicht unter Infrastruktur, Java Script, Security, Server, Web, XPages
Verschlagwortet mit 8.5.2, 8.5.3, Bug, Domino, Security, Server, Web, XPages
Schreib einen Kommentar
DocumentDataSource with Signer/SignerWithFullAccess-Rights
Yesterday I read the very interessting question from Daniele Grillo at stackoverflow.com: Is a datasource available for XPages who can access the underlying document with different access levels? I have never seen one before, so I decided to do some … Weiterlesen
Veröffentlicht unter Java, JSF, Security, ServerSide JavaScript, XPages
Verschlagwortet mit 8.5.3, Domino, Java, JSF, Security, ServerSide JavaScript, XPages
7 Kommentare
Security: Domino Server Backdoor (2)
Aus einer XPages-Applikation lässt sich der XSP Command Manager (das zugrundeliegende OSGi Framework) fernsteuern. Das Kommando entspricht dem Befehl tell http xsp <BEFEHL> auf der Domino Serverkonsole, nur dass hierfür kein Serverkonsolenzugriff benötigt wird. Mit Hilfe der folgenden XPage lassen … Weiterlesen
Security: Fernsteuerbare DocumentDataSources
Analog zu den ViewDataSources lassen sich auch DocumentDataSources über die Adresszeile des Browsers manipulieren: Der URL-Parameter databaseName ermöglicht hierbei die Steuerung der zugrundliegenden Datenbank, und überschreibt einen eventuell in der XPage hinterlegten Wert. <?xml version=“1.0″ encoding=“UTF-8″?> <xp:view xmlns:xp=“http://www.ibm.com/xsp/core“> <xp:this.data> … Weiterlesen
Security: Domino Server Backdoor
Mit XPages lässt sich ein Domino Server auf einfachste Weise lahm legen, da man über die Java Runtime beliebige Threads starten kann. Ein kleiner Button startet z.B. Notepad auf einem Windows Domino Server: <xp:button value=“Start NotePad!“ id=“buttonStartNotePad“> <xp:eventHandler event=“onclick“ submit=“true“ … Weiterlesen
Security: Fernsteuerbare ViewDataSources
Ist bei einer Datenbank die Option „Don’t allow URL open“ gesetzt, ist sie nicht mehr im Web erreichbar. Mit den URL-Parametern databaseName und viewName lässt sich in Verbindung mit einer ViewDatasource dieser Schutzmechanismus jedoch aushebeln, und könnte ein Problem darstellen, … Weiterlesen