• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Проблема IBM Lotus Domino - тестирование на ИБ

K

kalibekova

New member
24.03.2021
3
0
BIT
0
Добрый день! Пишу диссертацию на тему IBM Lotus Domino, в практической части необходимо сделать тестирование на ИБ, выявить уязвимости и дать рекомендации по уничтожению их. Прошу помочь с практической частью, по цене договоримся)
 
savl

savl

Lotus Team
28.10.2011
2 608
313
BIT
279
kalibekova сказал(а):
Добрый день! Пишу диссертацию на тему IBM Lotus Domino, в практической части необходимо сделать тестирование на ИБ, выявить уязвимости и дать рекомендации по уничтожению их. Прошу помочь с практической частью, по цене договоримся)
Нажмите, чтобы раскрыть...

Многие вещи можно закрыть путем предоставления информации как работает тот или иной компонент в Domino.
Взломать можно всё и не обязательно дело в Domino будет, криво настроенный сервер/хост -> "В нашу гавань заходили корабли".
Вот старая статья:
Ссылка скрыта от гостей

еще есть косяк со служебной базой webadmin.nsf, рекомендуют удалять и шаблон и саму базу.
Множество тонких настроек для скрытия информации о сервере, если он торчит наружу.
Патчи для jvm, описание которых есть на портале вендора.
Есть много презентаций и redbook на тему безопасности Domino, как платформы для приложений, как платформы для почты, как платформы даже для сайтов.
Ну и еще, вопрос: а какая версия платформы?
 
  • Нравится
Реакции: kalibekova
K

kalibekova

New member
24.03.2021
3
0
BIT
0
savl сказал(а):
Многие вещи можно закрыть путем предоставления информации как работает тот или иной компонент в Domino.
Взломать можно всё и не обязательно дело в Domino будет, криво настроенный сервер/хост -> "В нашу гавань заходили корабли".
Вот старая статья:
Ссылка скрыта от гостей

еще есть косяк со служебной базой webadmin.nsf, рекомендуют удалять и шаблон и саму базу.
Множество тонких настроек для скрытия информации о сервере, если он торчит наружу.
Патчи для jvm, описание которых есть на портале вендора.
Есть много презентаций и redbook на тему безопасности Domino, как платформы для приложений, как платформы для почты, как платформы даже для сайтов.
Ну и еще, вопрос: а какая версия платформы?
Нажмите, чтобы раскрыть...
Спасибо большое за информацию, версия 9
 
NetWood

NetWood

Lotus Team
17.04.2008
547
94
BIT
32
savl сказал(а):
savl сказал(а):
еще есть косяк со служебной базой webadmin.nsf, рекомендуют удалять и шаблон и саму базу.
Нажмите, чтобы раскрыть...
Нажмите, чтобы раскрыть...
Зачем так грубо). На все потенциально опасные базы можно делать так
1617042103307.png

В файле domcfg.htm пишем текстом что хотим. Например, "Любопытной Варваре на базаре нос оторвали..."
То же самое натравливаем на domcfg.nsf, log.nsf, mail.box и пр. mail.box, кстати, не прикрыт в 90% случаев.
 
Последнее редактирование:
NetWood

NetWood

Lotus Team
17.04.2008
547
94
BIT
32
kalibekova сказал(а):
Добрый день! Пишу диссертацию на тему IBM Lotus Domino, в практической части необходимо сделать тестирование на ИБ, выявить уязвимости и дать рекомендации по уничтожению их. Прошу помочь с практической частью
Нажмите, чтобы раскрыть...
По поводу диссертации, просто открываете русскоязчный хелп в Notes, в строке поиск вводите "безопасность" и списываете со скриншотами из любой базы или из дизайнера.
Того, что там написано лет десять-пятнадцать назад хватит еще на 50.

Со скринами надо будет самостоятельно потрудиться по контексту написанного в хелпе, но это точно гарантирует успех. Заодно и реально разберетесь с темой.
В админхелпе вам потребуется знание английского языка.
 
Последнее редактирование:
K

kalibekova

New member
24.03.2021
3
0
BIT
0
NetWood сказал(а):
По поводу диссертации, просто открываете русскоязчный хелп в Notes, в строке поиск вводите "безопасность" и списываете со скриншотами из любой базы или из дизайнера.
Того, что там написано лет десять-пятнадцать назад хватит еще на 50.

Со скринами надо будет самостоятельно потрудиться по контексту написанного в хелпе, но это точно гарантирует успех. Заодно и реально разберетесь с темой.
В админхелпе вам потребуется знание английского языка.
Нажмите, чтобы раскрыть...
Благодарю! Вы мне очень помогли)
 
savl

savl

Lotus Team
28.10.2011
2 608
313
BIT
279
NetWood сказал(а):
Зачем так грубо). На все потенциально опасные базы можно делать так

В файле domcfg.htm пишем текстом что хотим. Например, "Любопытной Варваре на базаре нос оторвали..."
То же самое натравливаем на domcfg.nsf, log.nsf, mail.box и пр. mail.box, кстати, не прикрыт в 90% случаев.
Нажмите, чтобы раскрыть...
В 12-й этой базы не будет больше, ее удалят, что касается остальных, то у меня после апдейта сервера на 9-ку, везде анонимус прописался в no access.
Понятное дело, что в существующих базах надо будет поковырять, при необходимости.
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 949
609
BIT
259
savl сказал(а):
В 12-й этой базы не будет больше, ее удалят, что касается остальных, то у меня после апдейта сервера на 9-ку, везде анонимус прописался в no access.
Понятное дело, что в существующих базах надо будет поковырять, при необходимости.
Нажмите, чтобы раскрыть...
КМК это с обновлением "дизайна" (шаблонов) прилетает, свои БД придется "руками" - да
на мой взгляд вебинтерфейс доминошных (системных) БД ваще надо серьёзно перерабатывать и надеюсь ХЦЛ этим займется
 
  • Нравится
Реакции: Domino-Designer
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ