CT 5.0.6 Security Alert

Allgemeiner Support zum phpBB 2 Board und phpBB 2 Modifikationen
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Antworten
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

CT 5.0.6 Security Alert

Beitrag von Holger »

Wenn ein Mitglied einen neuen Beitrag abschicken will, bekommt er folgende Fehlermeldung.

Was muss ich tun???????????????

/Holger

Edit: habe diesen Beitrag gefunden:
http://www.oxpus.de/viewtopic.php?p=74713#74713
Zuletzt geändert von Holger am Di 04.Mär, 2008 16:28, insgesamt 1-mal geändert.
Benutzeravatar
KeineAhnung
Beiträge: 349
Registriert: Di 29.Mai, 2007 17:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung »

http://www.community.cback.de/download.php?id=2343

du musst den sogenantent debug mod einschalten dann nochmal schaffen das der fehle rkommt und dann steht in der debug anleitung wie man den beheben kann, joar ich habs am anfang auch nicht kapiert aber ich war ja auch der autor des posts und dann hab ichs verstanden ;)
Zuletzt geändert von KeineAhnung am Di 04.Mär, 2008 16:39, insgesamt 1-mal geändert.
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Ja, ich habe ihn jetzt eingeschaltet.
Wäre schön, wenn man das per ACP machen könnte. Habe nicht immer ein FTP-Program zur Hand.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
KeineAhnung
Beiträge: 349
Registriert: Di 29.Mai, 2007 17:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung »

[quote="Holger";p="85301"]Ja, ich habe ihn jetzt eingeschaltet.
Wäre schön, wenn man das per ACP machen könnte. Habe nicht immer ein FTP-Program zur Hand.[/quote]

wäre zwar schön, aber sicherlich auch gefährlich, aber ich setzt mich mal an ein kleines snippet dafür ;D
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Hast recht ... lass es lieber!

Eh, jetzt habe ich den Alert sogar bekommen, als ich die Log-Dateien löschen wollte. ^2
Zuletzt geändert von Holger am Di 04.Mär, 2008 17:15, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wieder debuggen ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Naja, aber das ich CTs eigene Dateien debuggen muss ...
Faktum ist, dass ich jetzt den Debug anlasse, bis sich CT ein wenig beruhigt hat.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Faktum ist, dass ich jetzt den Debug anlasse, bis sich CT ein wenig beruhigt hat.
Das ist der falsche Weg!
Den Debugger NUR dann einschalten, wenn auch ein Fehler auftritt. Nicht dauerhaft laufen lassen, da das Board ansonsten nicht korrekt arbeiten könnte!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Hm, aber bis ich den Debugger eingeschaltet habe, ist das Problem wieder von selber verschwunden.
Ein Mitglied hatte einen Security Alert in posting.php gemeldet. Als er es das 2. Mal versucht hat, ging es ohne Alert durch.
Das finde ich ein bisschen nervig!
Ich habe nicht immer einen FTP-Client zur Hand um von false auf true umzustellen sobald ein Fehler auftritt.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich habe Deine posting.php gerade mal etwas an den CT angepasst.
Vielleicht gehts jetzt besser.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Ich hatte die posting schon nach dem Empfehlungen vom CT angepasst.

Die posting hat einen Clon: postingsupport
Was hast Du verändert? Dann ziehe ich das beim Clon nach!

Übrigens haben wir festgestellt, dass wenn man mit uploadpic Bilder hochlädt, die ein Leerzeichen enthalten, dann gibt es ein Security Alert beim Abschicken des Beitrages. Das gleiche Bild ohne Leerzeichen läuft durch.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Deine posting.php schaut nun so aus (am Anfang):

Code: Alles auswählen

include($phpbb_root_path . 'extension.inc');
define('CT_SECLEVEL', 'MEDIUM');
$ct_ignorepvar = array('message','helpbox'); 
include($phpbb_root_path . 'common.'.$phpEx);
Öhm, wenn die Einzelwörter vom CT gesperrt sind, macht der dicht.
Debuggen eben, um das betreffende abzuschaltende Feld zu finden.

Aber beim ganzen Debuggen aufpassen, daß alle übernommenen Werte auch gesichert übernommen und auch sicher in den SQL-Anfragen eingefügt sind.
Nicht daß man die CT-Prüfungen abschaltet und dann das Script eine Lücke ins Forum reisst.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Wo sehe ich welche Einzelwörter gesperrt sind?
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

In der ctracker/engine/ct_security.php.
Du solltest aber genau überlegen, ob Du hier was von löscht!
Denn das führt dann zwangsweise zu einer geringeren Sicherheit des Boards!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Kann man da nicht phpmyadmin aufnehmen?

Ausserdem: da sind ja haufenweise hardcoded Texte drin!
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Der hardcoded Text ist ja Absicht, da der CT ohne DB-Anbindung auskommen muss und daher alles nur in einer Sprache funktionieren kann. Idealerweise dann englisch.
Klar, kann man auch phpmyadmin hier mit aufnehmen, wenn es dann nicht zu anderen Fehlern führt und posten kann man das dann auch nicht mehr ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

DB-Anbindung?
Was ist mit lang_cback_ctracker.php?
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Und in welcher Sprache? ;)

Noch mal: Der CT verbindet sich zur Prüfung der Daten NICHT mit phpBB, hat also u. a. keine Spracheinstellungen zur Hand, um die richtige lang_cback_ctracker.php zu verwenden.
Daher eben nur pauschal die englische oder eben hardcoded Text...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

[quote="oxpus";p="85352"]Und in welcher Sprache? ;)[/quote]
Hm? Sorry, verstehe ich nicht!
Die Datei kann doch übersetzt werden und in einem anderen lang-Ordner abgelegt werden ...
Du meinst, dass CT bei DER Überprüfung nicht auf die DB zurückgreift und daher nicht die Spracheinstellung des Users kennt?
Das würde ich verstehen, aber da die Fehlermeldung im Forum angezeigt wird, finde ich es komisch, dass es nicht in der User-Sprache angezeigt werden kann.

EDIT:
Klar, kann man auch phpMyAdmin hier mit aufnehmen
Ich dachte, das hilft vielleicht gegen die phpmyadmin-Anfragen, die aus dem Netz auf meinen Server einprasseln?
Zuletzt geändert von Holger am Mi 05.Mär, 2008 15:55, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Holger, da der CT nicht an phpBB angebunden wird, wenn er seine eigentliche Arbeit verreichtet, weiß er folglich auch nicht, welche Sprache der gerade am Board befindliche User, Bot, oder wer auch immer hat!
Daher kann auch nicht auf eine lang_cback_ctracker.php zurückgegriffen werden, ausser man verwendet einen der möglichen Pfade dahin, in der Regel dann eben englisch.
Was dann aber auch nur funktioniert, wenn jemand in seinem phpBB auch englisch als Sprache weiterhin installiert hat und verwendet.

Und da man hier nur mit Eventualitäten und Annahmen zu tun hätte, ist eben der Anzeigetext der Security Meldung hardcoded!
Und der CT zeigt nichts im Forum an, wenn er eine Security Meldung ausgibt ;)

Zum Ausklammern des Wortes "phpmyadmin":
Wenn Du das im Ctracker machst, hat das an dieser Stelle wenig Sinn, da der nur im Forum selber ansetzt.
Hier müsste man alle Links mit dem Inhalt "phpmyadmin" bereits vom Webserver abfangen lassen und blocken/umleiten, was aber auch keinen wirklichen Sinn macht, denn dann kann es A. an einer anderen Stelle klemmen und B. es wird ja bereits ein 404er Fehler erzeugt.
Mehr wäre auch nur mehr Performanceverlust für den Server !
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

[quote="oxpus";p="85360"]Und der CT zeigt im Forum an, wenn er eine Security Meldung ausgibt ;)[/quote]
Stimmt, das hatte ich durcheinandergebracht! Alles klar!
Antworten