Hallo Zusammen,
ich habe im Rahmen eines Pen-Tests eine Fehlermeldung erhalten, welche mich sehr verwundert. Ich hoffe hier vielleicht ein paar hilfreiche Tipps zu erhalten, mit denen ich das Problem beheben kann.
Die Anwendung basiert auf XPages und wird lediglich über den Browser aufgerufen.
Die gepflegten Dokumente sind alle mit Leser und Bearbeiterfelder versehen.
Die zugehörige XPage hat ein DateiDownload-Steuerelement mit einer entsprechenden Datenbindung.
Wenn ein autorisierter Anwender nun den vom Steuerelement generierten Link, vgl. Beispiel
https://<URL>.nsf/xsp/.ibmmodres/domino/OpenAttachment/<DB>/<UNID>/<FELD>/<ANHANG>.xls
versendet und ein nicht autorisierter Anwender (nicht im Leser- / Bearbeiterfeld) diesen Link aufruft, wird im trotzdem die Datei angeboten.
Mit der alten Systematik
https://<URL>.nsf/0/<UNID>/$File/<ANHANG>.xls
kommt wie erwartet die Serveranmeldemaske. Dieses Verhalten tritt sowohl bei Domino 8.5.3 FP5 als auch bei Domino 9 auf. Beide Server sind standardmäßig konfiguriert.
Habe ich irgendetwas übersehen, da ich mir nur schwer vorstellen kann, dass es eine "echte" Sicherheitslücke ist.
Denn dies würde bedeuten, dass ich einem fremden Anwender einen Link schicken kann und sollte z.B. Anonymous auch nur als Einlieferer gesetzt sein in der ACL, ist der unberechtigte Download der Datei möglich.
Ich bin dankbar für jede Unterstützung.