Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Oracle APEX [игнор отключен] [закрыт для гостей] / ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE / 4 сообщений из 4, страница 1 из 1
01.04.2009, 17:30
    #35906457
-2-
-2-
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE
11.1.0.7 Linux x64.

Включен PL/SQL embedded gatway на порт 8081.

Сделал DAD для доступа без пароля:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
declare
   dad varchar2( 100 ) :='Web Services for Public Access';
begin
   DBMS_EPG.Drop_DAD(dad); 
   DBMS_EPG.CREATE_DAD(dad, '/public_site1/*'); 
   DBMS_EPG.SET_DAD_ATTRIBUTE(dad, 'database-username', 'ANONYMOUS');
   DBMS_EPG.SET_DAD_ATTRIBUTE(dad, 'default-page', 'EPG_SITE.test');
   DBMS_EPG.SET_DAD_ATTRIBUTE(dad, 'nls-language', 'RUSSIAN_CIS.CL8MSWIN1251');
end;
/

ANONYMOUS разблокирован. Права дефолтные: create session и грант на пару объектов FLOWxxx
Есть схема TOOLS с дба-правами, сделал там пакет:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
CREATE OR REPLACE package tools.testhttpp as
procedure ppp;
end;
/
CREATE OR REPLACE package body tools.testhttpp as
procedure ppp is
begin
   htp.p('HTTP TEST PAGE<BR>');
   htp.p('USER: '||user||'<BR>');
   htp.p('CURRENT_SCHEMA: '||sys_context('userenv','CURRENT_SCHEMA')||'<BR>');
   htp.p('PROXY_USER: '||sys_context('userenv','PROXY_USER')||'<BR>');
   htp.p('SESSION_USER: '||sys_context('userenv','SESSION_USER')||'<BR>');
   htp.p('AUTHENTICATION_METHOD: '||sys_context('userenv','AUTHENTICATION_METHOD')||'<BR>');
end;
end;
/
Грантов на пакет никаких не делаю.

Захожу по http://mydatabase:8081/public_site1/tools.testhttpp.ppp и вижу страничку:
Код: plaintext
1.
2.
3.
4.
5.
HTTP TEST PAGE
USER: ANONYMOUS
CURRENT_SCHEMA: TOOLS
PROXY_USER: 
SESSION_USER: ANONYMOUS
AUTHENTICATION_METHOD: PASSWORD

Пароля не спрашивает. С другими схемами такого не возникает. Есть идеи почему ANONYMOUS может выполнять пакеты из TOOLS?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.04.2009, 18:09
    #35906563
-2-
-2-
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE
Дальнейшие эксперименты показали, что ANONYMOUS получает доступ к процедурам схемы TOOLS, которые недавно выполнялись авторизованными пользователями через другой DAD, требующий неанонимную авторизацию.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.04.2009, 12:38
    #35910423
-2-
-2-
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE
Кто-нибудь может воспроизвести ситуацию или никого не волную дыры в безопасности?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
03.04.2009, 23:30
    #35911766
Ivandr
Ivandr
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE
сложно рассуждать на темы в которых не уверен
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Oracle APEX [игнор отключен] [закрыт для гостей] / ANONYMOUS выпоняет пакеты из схемы TOOLS не имея прав на EXECUTE / 4 сообщений из 4, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 142ms
Закрыть
start [/forum/topic.php?fid=50&mobile=1&tid=1877447]:
 0ms
get settings:
 7ms
get forum list:
 10ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 55ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 38ms
get tp. blocked users:
 1ms
others: 14ms
total:  142ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]