Recent Posts

Pages: [1] 2 3 ... 10
1
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 01:19:38 PM »
"moin, regnets bei euch??  :-D "
Jo, bis in'nen Keller, wo die depressiven Mieter ihr Zelt aufgebaut haben, wegen der Erdstrahlen.
2
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by jacobi22 on March 23, 2019, 12:19:29 PM »
moin, regnets bei euch??   :-D

@ Heinz:  kannst du bitte mal folgendes testen:

- für die Imagegallery die Suche wieder einschalten
- ein Begriff suchen, der da vorkommt
- Treffer zählen

Hab bis 03.00 Uhr versucht, die Suche da zu reparieren, ist auch kein Problem, allerdings zeigt er mir dann alle Treffer an und nicht etwa die in den WB-Optionen eingestellte Menge.
Als Beispiel
Alle Bilder bei mir fangen mit DSC an, weil so von der Kamera benannt, Suchbegriff also DSC
ich weiß, ich hab 80 Bilder im Ordner, die Einstellung "Suchtreffer pro Seite" steht auf 3 (WB-Optionen)
ich bekomme in der Imagegallery-Suche nun 15 Thumbs angezeigt, der Rest ohne Thumbs, nur Bildname, weil Treffer - das macht 80 Treffer aus Gallery1 und weitere Treffer aus Gallery 2

15 wäre der default-Wert, falls in der Datenbank kein Wert eingestellt oder gelesen werden kann, der Wert ist aber vorhanden, wird auch gelesen, trotzdem bekomm ich 15 Bilder und alle Treffer aus dem Ordner.
In einem anderen Ordner heißen die Bilder anders, z.b. drei mit dem Wort "Ente" drin, da bekomm ich nur diese drei Entenbilder, aber eben auch, wenn das Maximum nur auf 1 steht

P.S.: für mich ist heute Schraubertag, hab einen neuen, kranken Van auf dem Hof, der meine Zeit verlangt

Quote
Ob es mit der als deprecated create_function() zu tun hat,

kommt drauf an, was in dieser Funktion drin steht
In diesem Fall soll diese Funktion die Pfade aufteilen, d.h. WB_PATH und MEDIA_DIRECTORY und der eingestellte Folder sollen entfernt werden, so, das nur noch der Dateiname überbleibt
3
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 12:08:10 PM »
Ob es mit der als deprecated create_function() zu tun hat, können die Programmierer ausloten.
Jedenfalls scheint 'ne Unsicherheit wie bei eval() nicht ausgeschlossen, zumindest wenn man den Kommentaren folgt:
[PHP 7.2] Remove usage of deprecated create_function() This function internally performs an eval() and as such has the same security issues as eval(). Additionally it has bad performance and memory usage characteristics.

MfG. Evaki
4
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by bbs2 on March 23, 2019, 11:58:14 AM »
Hallo,

swift läuft bei mir in der Betaversion 2.0.0 dev4 und macht einen guten, stabilen Eindruck.
Keine Fehler mehr in der php_error.log.php

Imagegallery scheint Probleme zu haben (create_function???). Ich habe zur Zeit davon lediglich eine Seite öffentlich,
damit diese von Forumsmitgliedern getestet werden kann und ein Vergleich zu swift möglich ist.
Ich bin sicher, dass die Entwickler eine neue, fehlerfreie Version bringen. Im Voraus Danke.

Hier noch einmal die Links
swift:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/galerie-autorenlesung-2011.php

imagegallery:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php

Gruß
Heinz
5
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 11:27:18 AM »
Naja, trotz meiner Blödheit und Weigerung bezüglich php-Programmierens, lerne ich ja an anderen Stellen  trotz Trotz  :-D dazu.

Nachtrag: Wenn ein Script einen 500er auslösen kann, ist das in jeder Hinsicht inakzeptabel, egal ob mir einer der professionellen Scanner möglicherweise  kein XSS meldet. Da muß man dann ran, inne Backstube.  8-)
6
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by dbs on March 23, 2019, 11:24:31 AM »
Aah, ziehe jede spöttische Bemerkung bis zum 1. April zurück.  8)
7
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 11:22:17 AM »
Etwas zu kurz gedacht (oder schon die Vorfreude auf den 1. April?  :-D ), der Fehler wird durch das Angriffsmuster ausgelöst, eben weil XSS möglich - darum auch ausführlicher "Bericht".
Läge kein 200 ok vor, könnte der Angriff erst garnicht erfolgen.
MfG. Evaki
8
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by dbs on March 23, 2019, 11:18:49 AM »
Quote
bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst

Vielleicht ist bei deinem Tool schon 1.April? :-)
Die Seite zeigt Status 200, normal erreichbar.
9
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 11:08:16 AM »
Zweiter Durchlauf
swift:
galerie-autorenlesung-2011.php
Keine Meldung

Apropos swift
Was für eine Version läuft aktuell?


imagegallery:
bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst:
Code: [Select]
Internal Server Error
URL  https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?dir577=&offset577=-1' and 6=3 or 1=1+(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT(CHAR(95),CHAR(33),CHAR(64),CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101),CHAR(109),CHAR(109),CHAR(97),0x3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+' 
Parameter Name  offset577 
Parameter Type  GET 
Angriffsmuster  -1%27+and+6%3d3+or+1%3d1%2b(SELECT+1+and+ROW(1%2c1)%3e(SELECT+COUNT(*)%2cCONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64)%2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2cCHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97)%2c0x3a%2cFLOOR(RAND(0)*2))x+FROM+INFORMATION_SCHEMA.COLLATIONS+GROUP+BY+x)a)%2b%27 

Details zur Schwachstelle
Netscanner identified an internal server error.
The server responded with an HTTP status 500, indicating there is a server-side error. Reasons may vary, and the behavior should be analyzed carefully. If Netscanner is able to find a security issue in the same resource, it will report this as a separate vulnerability.

Auswirkungen
The impact may vary depending on the condition. Generally this indicates poor coding practices, not enough error checking, sanitization and whitelisting. However, there might be a bigger issue, such as SQL injection. If that's the case, Netscanner will check for other possible issues and report them separately.

Abhilfe
Analyze this issue and review the application code in order to handle unexpected errors; this should be a generic practice, which does not disclose further information upon an error. All errors should be handled server-side only.


Schön zu sehen wie eine bestimmte Anfälligkeit unterschiedliche Auswirkungen haben kann.
Jetzt muß Du halt nur schauen, ob eine Backstube geöffnet hat.

MfG. Evaki
10
General Help & Support / Re: Fatal error in class.frontend.php
« Last post by evaki on March 23, 2019, 10:26:23 AM »
ok, in Bearbeitung
Die Seite scheint etwas mehr Zeit zu beanspruchen, und ein weiterer Test steht noch aus.
Kann also etwas dauern.
Bis späder.

======================
War wohl nix
XSS-Meldung:
Vulnerability description
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.

Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php.

Auslösbar anscheinend über
/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?a m p % 2 2 s T Y L e % -blubbla

Breche diesen Test ab, und mache noch 'nen zweiten Durchgang mit anderem Tool
- quasi zur Sicherheit  :roll:
 
Pages: [1] 2 3 ... 10