1. дома
  2. Вопрос и ответ
  3. Filemaker Web Publishing & Data Integrity

Filemaker Web Publishing & Data Integrity

2011-12-22 2 views
0

Недавно мне было предложено попытаться решить проблему целостности данных с помощью приложения базы данных Filemaker, которое было опубликовано в Интернете.Filemaker Web Publishing & Data Integrity

Это приложение собирает данные кандидата на работу с помощью серии представлений. Были сообщения от нескольких пользователей о том, что во время своего опыта использования приложения они будут видеть данные другого заявителя при прохождении через приложение. Похоже, что эти пользователи превысили порог тайм-аута сеанса, а затем были раскрыты чьи-то данные в форме.

Я смотрю файл cookie JSESSIONID, который создается, поскольку это единственная ссылка, которую я вижу между сеансом браузера и приложением. Файл cookie JSESSIONID истекает в прошлом и имеет тип «сеанс»

Значения JSESSIONID также кажутся невероятно похожими; вот два JSESSIONIDS, которые я получил при тестировании приложения:

02442D0AA37DEF0512674E8C
02442D09A38288D712674E8E

Кто-нибудь испытывал аналогичные проблемы с FileMaker приложений, опубликованных в Интернете?

Есть ли что-нибудь еще, что мне нужно посмотреть, кроме того, как связаны JSESSIONID и Filemaker 11? Другими словами, существуют ли другие известные уязвимости безопасности с движком Filemaker Web Publishing, о которых все знают?

С удовлетворением

Slinky66

источник

2011-12-22 Slinky

ответ

2

JSESSIONID устанавливается Apache Tomcat. Это программное обеспечение поставляется вместе с файловым движком FileMaker, но генерация идентификатора сеанса никак не связана с FileMaker.

источник

2011-12-22 17:13:16

+0

Извините, если я не задавал этот вопрос более четко. Должен быть некоторый крючок, который Filemaker использует, чтобы связать значение cookie JSESSIONID в клиентском браузере с записью в его базе данных, и это то, что я пытаюсь понять. Кроме того, jsessionids действительно похожи, но я думал, что jsessionid был сгенерирован методом generateSessionId() (http://www.docjar.com/html/api/org/apache/catalina/session/ManagerBase.java.html# 981), который создает очень случайные строки. – Slinky

+0

Да, вы правы, хотя есть шаг косвенности - Tomcat (а не FileMaker) связывает cookie JSESSIONID с объектом сеанса в памяти. Затем FileMaker читает и записывает из этого объекта сеанса, и, безусловно, возможно, что там может существовать ошибка, которая вызывает то, что вы видите. –

0

Я получил уведомление от члена технической поддержки Filemaker о том, что в Filemaker есть известная документированная ошибка, которая является причиной этой проблемы. Смотрите эти темы для более подробной информации:

http://forums.filemaker.com/posts/0d29aeaea1

http://forums.filemaker.com/posts/ad61a7e781

источник

2011-12-23 12:49:27 Slinky

 Смежные вопросы

  • Нет связанных вопросов^_^