WBCE CMS Forum
WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
- Themen: Aktiv | Unbeantwortet
#1 15.01.2021 20:55:55
- wilsteraner
- Mitglied
Sicherheitsverletzung beim Speichern von Einstellungen
Hallo Forum,
ich wollte die Ausgabe des NWI nach meinen Bedürfnissen anpassen. Wenn ich unter Einstellungen die Änderungen speichern möchte, wird eine weiße 403 Fehlerseite mit der Ausgabe "Forbidden You do not have permission to access this document. " erzeugt.
Klicke ich auf zurück, steht im Backend folgende Fehlermeldung:
Sicherheitsverletzung! Zugriff wurde verweigert! (IDKEY) /...modules/news_img/modify_settings.php:49
Könnt Ihr mir weiterhelfen?
Viele Grüße
Beitrag geändert von florian (15.01.2021 21:43:00)
Offline
#2 15.01.2021 21:52:15
- florian
- Administrator
Re: Sicherheitsverletzung beim Speichern von Einstellungen
- gelöscht -
Beitrag geändert von florian (16.01.2021 12:41:51)
Code allein macht nicht glücklich. Jetzt spenden!
Offline
#3 15.01.2021 23:37:09
- colinax
- Developer
Re: Sicherheitsverletzung beim Speichern von Einstellungen
Dateiberechtigungen sind nicht das Problem.
@wilsteraner geht's hier auch um die Feuerwehr Webseite?
Wenn ja, da hat dein Hoster sehr strenge Vorschriften was die Code Ausführung betrifft, z.B Adminer funktioniert nicht, für Cookie Consent mach ich gerade einen Fix.
Kurz um alles wo Code und Darstellung in einer Datei ist, wird von deinem Hoster mit "Forbidden You do not have permission to access this document" geblockt. (soweit ich es verstehe)
Beitrag geändert von colinax (15.01.2021 23:44:23)
Offline
#4 16.01.2021 12:50:25
- florian
- Administrator
Re: Sicherheitsverletzung beim Speichern von Einstellungen
Stimmt, es liegt an der ModSecurity-Konfiguration des Anbieters. Ich habe da einen Testaccount eingerichtet und kann das Problem reproduzieren.
ModSecurity stört sich an dem hypergefährlichen "<img src=" 
...
[client x.x.x.x] ModSecurity: [file "/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/10_asl_rules.conf"] [line "1085"] [id "340147"] [rev "145"] [msg "Atomicorp.com WAF Rules: Potential Cross Site Scripting Attack"] [data "<img src="] [severity "CRITICAL"] Access denied with code 403 (phase 2). Pattern match "(?:< ?script|(?:<|< ?/)(?:(?:java|vb)script|about|applet|activex|chrome|qx?ss|embed)|< ?/?i?frame\\\\b|< ?img src ?=|< ?base href ?=)" at ARGS:image_loop. [hostname " xxxx "] [uri "/modules/news_img/save_settings.php"] [unique_id "YALArZDJYvV9adXTLQ7VwwAAAIc"], referer: http:// xxxxx /modules/news_img/modify_settings.php?page_id=2§ion_id=2§ion_key=mBmPL71Q0OK5FHzHxqWnjg--
Allerdings nur mit NWI Einstellungen im Expertenmodus, und da auch nur bei Galerie-/Bild-Einstellungen > Feld Schleife - wenn ich den bösen <img Tag z.B. in der Kopfzeile einfüge, stört das nicht ... und auch nicht nicht mit Code2 oder ObO oder Droplets. Eigenartig.
Das ganze lässt sich aber noch einfacher als gedacht umgehen.
Feld Galerie-/Bild-Einstellungen > Bild schleife ändern zu
<img alt="[DESCRIPTION]" src="[IMAGE]" title="[DESCRIPTION]" data-caption="[DESCRIPTION]" />(also einfach nur src="[IMAGE]" und alt="[DESCRIPTION]" vertauschen)
Dann lassen sich die NWI-Einstellungen speichern.
Beitrag geändert von florian (16.01.2021 13:39:07)
Code allein macht nicht glücklich. Jetzt spenden!
Offline
#5 18.01.2021 10:32:23
- webbird
- Administrator
Re: Sicherheitsverletzung beim Speichern von Einstellungen
Strange.
Ich habe eine Amazon-Wishlist. 
Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Offline
