WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 15.01.2021 19:55:55

wilsteraner
Member

Sicherheitsverletzung beim Speichern von Einstellungen

Hallo Forum,

ich wollte die Ausgabe des NWI nach meinen Bedürfnissen anpassen. Wenn ich unter Einstellungen die Änderungen speichern möchte, wird eine weiße 403 Fehlerseite mit der Ausgabe "Forbidden You do not have permission to access this document. " erzeugt.

Klicke ich auf zurück, steht im Backend folgende Fehlermeldung:

Sicherheitsverletzung! Zugriff wurde verweigert! (IDKEY) /...modules/news_img/modify_settings.php:49

Könnt Ihr mir weiterhelfen?

Viele Grüße

Last edited by florian (15.01.2021 20:43:00)

Offline

#2 15.01.2021 20:52:15

florian
Administrator

Re: Sicherheitsverletzung beim Speichern von Einstellungen

- gelöscht -

Last edited by florian (16.01.2021 11:41:51)


Sorgen sind wie Nudeln: man macht sich meist zu viele.

Offline

#3 15.01.2021 22:37:09

colinax
Member

Re: Sicherheitsverletzung beim Speichern von Einstellungen

Dateiberechtigungen sind nicht das Problem.

@wilsteraner geht's hier auch um die Feuerwehr Webseite?

Wenn ja, da hat dein Hoster sehr strenge Vorschriften was die Code Ausführung betrifft, z.B Adminer funktioniert nicht, für Cookie Consent  mach ich gerade einen Fix.

Kurz um alles wo Code und Darstellung in einer Datei ist, wird von deinem Hoster mit "Forbidden You do not have permission to access this document" geblockt. (soweit ich es verstehe)

Last edited by colinax (15.01.2021 22:44:23)

Offline

#4 16.01.2021 11:50:25

florian
Administrator

Re: Sicherheitsverletzung beim Speichern von Einstellungen

Stimmt, es liegt an der ModSecurity-Konfiguration des Anbieters. Ich habe da einen Testaccount eingerichtet und kann das Problem reproduzieren.
ModSecurity stört sich an dem hypergefährlichen "<img src=" roll ...

[client x.x.x.x] ModSecurity: [file "/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/10_asl_rules.conf"] [line "1085"] [id "340147"] [rev "145"] [msg "Atomicorp.com WAF Rules: Potential Cross Site Scripting Attack"] [data "<img src="] [severity "CRITICAL"] Access denied with code 403 (phase 2). Pattern match "(?:< ?script|(?:<|< ?/)(?:(?:java|vb)script|about|applet|activex|chrome|qx?ss|embed)|< ?/?i?frame\\\\b|< ?img src ?=|< ?base href ?=)" at ARGS:image_loop. [hostname " xxxx "] [uri "/modules/news_img/save_settings.php"] [unique_id "YALArZDJYvV9adXTLQ7VwwAAAIc"], referer: http:// xxxxx /modules/news_img/modify_settings.php?page_id=2&section_id=2&section_key=mBmPL71Q0OK5FHzHxqWnjg--

Allerdings nur mit NWI Einstellungen im Expertenmodus, und da auch nur bei Galerie-/Bild-Einstellungen > Feld Schleife - wenn ich den bösen <img Tag z.B. in der Kopfzeile einfüge, stört das nicht ... und auch nicht nicht mit Code2 oder ObO oder Droplets. Eigenartig.

Das ganze lässt sich aber noch einfacher als gedacht umgehen.

Feld Galerie-/Bild-Einstellungen > Bild schleife ändern zu

<img alt="[DESCRIPTION]" src="[IMAGE]"  title="[DESCRIPTION]" data-caption="[DESCRIPTION]" />

(also einfach nur src="[IMAGE]"  und alt="[DESCRIPTION]"  vertauschen)


Dann lassen sich die NWI-Einstellungen speichern.

Last edited by florian (16.01.2021 12:39:07)


Sorgen sind wie Nudeln: man macht sich meist zu viele.

Offline

#5 18.01.2021 09:32:23

webbird
Administrator

Re: Sicherheitsverletzung beim Speichern von Einstellungen

Strange.


Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

Board footer

up