Author Topic: Sicherheitsverletzung!! Zugriff wurde verweigert! beim speichern von Seiten  (Read 3473 times)

Offline frankyboy

  • Posts: 120
  • Gender: Male
  • Sächsischer Schlagerstar
    • Chemnitz Chamber Choir
Hallo zusammen, nach erfolgtem Upgrade von 2.83 auf 3.10 und dann 3.11 habe ich bei einigen (nicht jedoch allen) Seiten beim Bearbeiten folgenden Meldung:
Sicherheitsverletzung!! Zugriff wurde verweigert!
Ich kannte diese Meldung eigentlich früher nur vom Arbeiten mit 2Tabs etc.
Was ist hier die Ursache? Wie kann ich dies beheben?
Vielen Dank.
Disko-King.de

Offline dbs

  • Betatester
  • **
  • Posts: 8268
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Hallo, klick mal auf den Button mit dem X  oben im Menü. Da sollten dann Fehlermeldungen zu sehen sein.

Ansonsten mal prüfen ob die Dateiberechtigungen stimmen. Ordner 0755, Dateien 0644.
Was ist unter Optionen > Erweitert > Server Einstellungen zu sehen bei Berechtigungen?

Manchmal werden nicht alle Dateien übertragen/überschrieben bei einem Upgrade. Deshalb auch versuchen nochmal alles hochzuladen und das Upgrade nochmal manuell durchführen. Klicke oben im Menü den Info Button und wähle Upgraden WebsiteBaker

Offline frankyboy

  • Posts: 120
  • Gender: Male
  • Sächsischer Schlagerstar
    • Chemnitz Chamber Choir
Danke, wird probiert.
Disko-King.de

Offline hgs

  • Betatester
  • **
  • Posts: 1234
    • EFG MG
Hast du auch mit dem Upgrade von 2.8.3 auf 2.10 alles durchgetestet? und wie sah es da aus.
Im FE gibt es auch noch Entities das sieht so aus, als ob die BD noch micht auf utf8 umgestellt ist.
Footertext
Copyright © disko-king.de
« Last Edit: March 23, 2018, 12:04:25 PM by hgs »
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline frankyboy

  • Posts: 120
  • Gender: Male
  • Sächsischer Schlagerstar
    • Chemnitz Chamber Choir
oh, pardon. ist nicht die Seite aus meiner Signatur.
geht um http://www.wxw-wrestling.com, das war missverständlich.
Da ich das Update auf 2.10 nur gemacht habe um auf 2.11 updaten zu können, erfolgten keine Detailtest. Dh. ich weiß erst seit dem 2.11er Update dass dies ein Problem ist.
Disko-King.de

Offline nturner

  • Posts: 13
"show_menu2 error: $aOptions is invalid. No flags supplied!"

Offline dbs

  • Betatester
  • **
  • Posts: 8268
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Hallo, die ersten 4 Parameter müssen gesetzt sein.
Wie sieht dein show_menu2 Aufruf aus?

Offline isd

  • Posts: 82
Ich habe das gleiche Problem nach Upgrade von 2.8.2 auf 2.12
Jetzt erhalte ich immer die Sicherheitsverletzu ngs-Meldung, wenn ich auf "Beitrag hinzufügen" klicke im News-Modul, das ich nutze.
Es ist die Version 3.9.12 vom News-Modul installiert.

Dieser Fehler trat früher auch schon auf. Das konnte ich aber mit de, Secure-Form Switcher Modul beheben. Dieses wurde aber beim Upgrade entfernt und es scheint dieses auch nicht mehr zu geben.

Im Error-Log tauchen auch nur die Meldungen zu show_menu2 auf. Ich verstehe aber den Zusammenhang nicht, den es zwischen show_menu2 und meinem Problem im Admin Bereich geben soll.

Der Show Menu Aufruf sieht so aus:
show_menu2(1, 6, SM2_CURR+1, false, '<li><a href="[url]?id=[page_id]" target="[target]" class="[class]">[menu_title]</a>', "\n</li>", false, false, false, '<ul id="side_menu" class="menu">');

Lokal funktioniert übrigens alles fehlerfrei.
Lokal läuft ein PHP 7.4 auf dem Server läuft 7.3.6

Kann mir jemand helfen, was hier zu tun ist?

Offline isd

  • Posts: 82
Das Problem mit der Sicherheitsverletzu ng habe ich gelöst. Als lag an den Einstellungen in der Php.ini auf dem Server (register_globals)

Offline hgs

  • Betatester
  • **
  • Posts: 1234
    • EFG MG
Ich habe das gleiche Problem nach Upgrade von 2.8.2 auf 2.12

Hoffe du meinst die aktuelle version 2.12.2 :)
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline isd

  • Posts: 82
Seit heute habe ich das Problem wieder: Beim Versuch im News-Modul (3.9.12) in WB 2.12.2 einen neuen Beitrag anzulegen erscheint immer Sicherheitsverletzu ng.
Ich hatte das Problem damals mit "register_globals=on" gelöst. Jetzt bewirkt das aber gar nichts mehr (egal, ob on oder off).
PHP Version ist nach wie vor 7.3.6. Der Provider hat angeblich nichts veränder. Am 23.4. ging es noch.

Jemand einen Tipp, woran das liegen kann?

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3045
  • Gender: Female
Using Register Globals
Warnung

Dieses Feature wurde in PHP 5.3.0 als DEPRECATED (veraltet) markiert und ist seit PHP 5.4.0 ENTFERNT (entfernt).
Das "damals gelöst" ist aber schon ein paar Jährchen her..   :-D

PHP Version ist nach wie vor 7.3.6. Der Provider hat angeblich nichts veränder. Am 23.4. ging es noch.
Jemand einen Tipp, woran das liegen kann?
Also, wenn register_globals am 23.4.(welches Jahr??) noch funktioniert hat, dann war da unter Garantie kein PHP mit einer Version von 5.4 oder höher drauf. Und schon gar kein PHP-7.x.
Was jetzt die "Sicherheitsverletzu ng" angeht, da reich ich Dich einfach mal weiter. Dunkel erinnere ich mich, dass da vor kurzem mal was war...

Manuela
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline isd

  • Posts: 82
Also es ist definitiv eine PHP 7.4 auf dem lokalen Testserver und eine 7.3.6 auf dem Live-Server. Es ging noch am 23.4.2020 - jetzt geht es nicht mehr.
Nach dem Upgrade auf die aktuellste Version von WB und dem News-Modul hatte ich zunächst auch die Fehlermeldung Sicherheitsverletzu ng. Ich bild mir ein es damals mit der register_globals Einstellung gelöst zu haben, das weiss ich aber nicht mehr sicher.

Offline isd

  • Posts: 82
Wenn ich im /modules/news/add_post.php die letzte Zeile auskommentiere:

Code: [Select]
if(!$admin->checkFTAN('GET')) {
    $admin->print_header();
    //$admin->print_error($MESSAGE['GENERIC_SECURITY_ACCESS'], ADMIN_URL.'/pages/modify.php?page_id='.$page_id);
}

Kann ich neue Beiträge anlegen.
Wenn ich diesen dann aber wieder löschen will, dann scheitere ich wieder an der Sicherheitsverletzu ng.
Wenn ich auch hier entsprechend auskommentiere, kommt im Backend nach dem Löschversuch die Fehlermeldung:
Quote
There was an uncatched exception
Call to a member function numRows() on null
in line (38) of (/modules/news/delete_post.php):

Hilft das weiter?

Offline isd

  • Posts: 82
Mir ist aufgefallen, dass gar nicht alle Beiträge komplett aufgelistet werden, sondern die Auflistung im Backend irgendwann abbricht. Die Seite wird also gar nicht komplett geladen (siehe Anhang).
Irgendwann werden keine weiteren Beiträge mehr ausgegeben.
Auch müsste danach noch eine weitere WYSIWYG Sektion geladen werden - die fehlt auch komplett.
Auf dem lokalen Webserver ist das alles nicht der Fall.

Oder ist der Fehler eher in der Datenbank selbst zu suchen? Das dort irgendetwas den Abbruch verursacht?

Offline LudwigSt

  • Posts: 291
Oder ist der Fehler eher in der Datenbank selbst zu suchen? Das dort irgendetwas den Abbruch verursacht?
Vermutlich in der Datenbankabfrage. Die Fehlermeldung "Call to a member function numRows() on null" kommt, wenn die Abfrage keine Datensätze liefert.
Wissen ist Macht - aber nix wissen macht auch nix.

Offline isd

  • Posts: 82
Der numRows Fehler kommt ja nur, wenn ich diese eine Zeile im Code auskommentieren, damit die Sciherheitsverletzu ngs-Meldung nicht kommt. Also die eigentliche Ursache ist ja immer diese Sicherheitsverletzu ng in die wird wohl durch das hier verursacht:

Code: [Select]
$admin->print_error($MESSAGE['GENERIC_SECURITY_ACCESS'], ADMIN_URL.'/pages/modify.php?page_id='.$page_id);

Hier noch der Screenshot, wie die Auflistung der Beiträge aussieht in der Online-Version. Es werden nicht alle Beiträge aufgelistet, es scheint abgebrochen zu werden.

Wie gesagt müsste danach noch eine weitere WYSIWYG Sektion geladen werden - die fehlt auch komplett.
Warum werden die Beiträge lokal alle gelistet und die Seite komplett aufgebeut, auf dem Webserver aber nicht.
Da greift doch dann irgendein Limit. Der Provider behauptet aber, da ist nix.

Offline dbs

  • Betatester
  • **
  • Posts: 8268
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Ich glaube du brauchst an einem Standardmodul nicht rumdoktern. Wenn da was wäre würde es schon eher aufgetaucht sein.
Du hast lokal einen anderen Server und der ist anders eingestellt, mit weniger Sicherheit. Also kein Vergleich möglich mit dem online Server.

Kannst du deine online Installation backuppen und lokal einspielen um zu testen ob dort alles geht?
Wenn dort das gleiche Problem auftreten würde, liegts nichts am Server.
Oder andersherum, kannst deine lokale Version online einspielen um zu testen ob die immernoch geht?

Gibt es noch andere Dinge die nicht funktionieren? Seiten anlegen, Abschnitte anlegen oder ähnliches.
Wie hattest du das Upgrade eigentlch gemacht? Mit Zip hochladen oder jede Datei einzeln? Das Upgrade kannst du jederzeit wiederholen. Ich würde nochmal alles hochladen, damit sicher alle Dateien übertragen wurden.

Steht was im Errorlog? Der X-Button oben im Menü hilft da weiter.

Offline isd

  • Posts: 82
Im Errorlog steht

PHP Fatal error: Allowed memory size of 104857600 bytes exhausted (tried to allocate 8404992 bytes) in /kunden/184865_64625/rp-hosting/1000/1000/htdocs/modules/news/modify.php on line 290

Scheint also doch irgendeine Beschränkung zu sein.
Das mit dem Einsatz der Server Version auf dem lokalen Webserver werde ich heute Abend mal testen

Offline isd

  • Posts: 82
Es lag am memory-limit. Das musste ich auf dem Webserver erhöhen, dann lief es wieder.
Ich hatte das gestern nur erst an der falschen Stelle gemacht, weswegen das dann keinen Effekt hatte.
Manchmal hilft es auch eine Nacht drüber zu schlafen, um ein Problem zu lösen ;-)

Offline hgs

  • Betatester
  • **
  • Posts: 1234
    • EFG MG
Danke für Feedback geben (Y)
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

 

postern-length