WebsiteBaker Support (2.12.x) > General Help & Support
Fatal error in class.frontend.php
bbs2:
Hi,
imagegallery-Seite sollte funktionieren.
Gruß
Heinz
evaki:
ok, in Bearbeitung
Die Seite scheint etwas mehr Zeit zu beanspruchen, und ein weiterer Test steht noch aus.
Kann also etwas dauern.
Bis späder.
======================
War wohl nix
XSS-Meldung:
Vulnerability description
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.
Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php.
Auslösbar anscheinend über
/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?a m p % 2 2 s T Y L e % -blubbla
Breche diesen Test ab, und mache noch 'nen zweiten Durchgang mit anderem Tool
- quasi zur Sicherheit :roll:
evaki:
Zweiter Durchlauf
swift:
galerie-autorenlesung-2011.php
Keine Meldung
Apropos swift
Was für eine Version läuft aktuell?
imagegallery:
bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst:
--- Code: ---Internal Server Error
URL https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?dir577=&offset577=-1' and 6=3 or 1=1+(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT(CHAR(95),CHAR(33),CHAR(64),CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101),CHAR(109),CHAR(109),CHAR(97),0x3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'
Parameter Name offset577
Parameter Type GET
Angriffsmuster -1%27+and+6%3d3+or+1%3d1%2b(SELECT+1+and+ROW(1%2c1)%3e(SELECT+COUNT(*)%2cCONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64)%2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2cCHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97)%2c0x3a%2cFLOOR(RAND(0)*2))x+FROM+INFORMATION_SCHEMA.COLLATIONS+GROUP+BY+x)a)%2b%27
Details zur Schwachstelle
Netscanner identified an internal server error.
The server responded with an HTTP status 500, indicating there is a server-side error. Reasons may vary, and the behavior should be analyzed carefully. If Netscanner is able to find a security issue in the same resource, it will report this as a separate vulnerability.
Auswirkungen
The impact may vary depending on the condition. Generally this indicates poor coding practices, not enough error checking, sanitization and whitelisting. However, there might be a bigger issue, such as SQL injection. If that's the case, Netscanner will check for other possible issues and report them separately.
Abhilfe
Analyze this issue and review the application code in order to handle unexpected errors; this should be a generic practice, which does not disclose further information upon an error. All errors should be handled server-side only.
--- End code ---
Schön zu sehen wie eine bestimmte Anfälligkeit unterschiedliche Auswirkungen haben kann.
Jetzt muß Du halt nur schauen, ob eine Backstube geöffnet hat.
MfG. Evaki
dbs:
--- Quote ---bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst
--- End quote ---
Vielleicht ist bei deinem Tool schon 1.April? :-)
Die Seite zeigt Status 200, normal erreichbar.
evaki:
Etwas zu kurz gedacht (oder schon die Vorfreude auf den 1. April? :-D ), der Fehler wird durch das Angriffsmuster ausgelöst, eben weil XSS möglich - darum auch ausführlicher "Bericht".
Läge kein 200 ok vor, könnte der Angriff erst garnicht erfolgen.
MfG. Evaki
Navigation
[0] Message Index
[#] Next page
[*] Previous page
Go to full version