Hallo Zusammen,
Ich habe mir eben die 4.8.8 installiert und bekomme im Frontend einen illegal call. Im Backend wird der Artikel problemlos angezeigt. Daher habe ich die Backendurl mal in den Browser kopiert und bekomme direkt Zugriff auf die Backendansicht.
Da die Files in über die Standardinstallation erreichbar sind, ist das doch ein wenig problematisch. Vielleicht sollte man" Contenido_Security::¨....
auch im Backend nachziehen.
http://meinedomein.de/contenido/externa ... =1&idcat=1
Funktioniert in allen Standardinstallationen
Gruss
Mittax
Sicherheitslücke im Backendzugriff
Sicherheitslücke im Backendzugriff
Zuletzt geändert von mittax am Fr 19. Sep 2008, 23:24, insgesamt 1-mal geändert.
-
timo.trautmann_4fb
- Beiträge: 472
- Registriert: Di 15. Apr 2008, 15:57
- Wohnort: Michelstadt
- Kontaktdaten:
Hallo mittax,
wann erhälst du im Frontend einen illegal call, welche URL rufst du auf, die im Backendedit angezeigt werden kann. Es ist ja ganz normal dass man Artikel aufrufen kann das ist ja auch kein Sicherheitsproblem. Eigentlich solltest du den gleichen Artikel auch über das Frontend aufrufen können. Mit den Parametern kommst du lediglich nicht ins Backendedit wenn du nicht eingeloggt bist.
Der Hintergrund: backend_edit.php und front_content.php sind bis auf wenige Zeilen identisch daher kann ich dein Vorgehen nicht nachvollziehen. Welche URL rufst du über das Frontend auf, dass es zu einem Illegal Call kommt?
Gruß Timo
wann erhälst du im Frontend einen illegal call, welche URL rufst du auf, die im Backendedit angezeigt werden kann. Es ist ja ganz normal dass man Artikel aufrufen kann das ist ja auch kein Sicherheitsproblem. Eigentlich solltest du den gleichen Artikel auch über das Frontend aufrufen können. Mit den Parametern kommst du lediglich nicht ins Backendedit wenn du nicht eingeloggt bist.
Der Hintergrund: backend_edit.php und front_content.php sind bis auf wenige Zeilen identisch daher kann ich dein Vorgehen nicht nachvollziehen. Welche URL rufst du über das Frontend auf, dass es zu einem Illegal Call kommt?
Gruß Timo
Antwort
Ich habe auf 4.8.8 geupdatet und mod_rewrite aus meiner 4.8.6 version drübergebügelt.
Irgendwie läuft die 4.8.8 nicht mit dem mod_rewrite. Da blick ich nicht ganz durch.
Wenn ich nun die front_content.php aufrufe bekomme ich den illegal_call
Nun habe ich mich eingeloggt, um den Startseitenartikel aufzurufen und stellte fest, dass der Arttikel im Backend problemlos läuft. Daher habe ich die URL (siehe oben) kopiert, den browser geschlossen und die die URL in einem neuen Fenster geöffnet. Der Artikel sollte eigentlich nicht übers backend aufrufbar sein. Ich musste mich auch nicht einloggen.
So wie es aussieht wird nicht geprüft, ob das backendfile von einem valid User aufgerufen wird.
http://meinedomain.de/contenido/externa ... =1&idcat=1
Gruss
Mittax
Irgendwie läuft die 4.8.8 nicht mit dem mod_rewrite. Da blick ich nicht ganz durch.
Wenn ich nun die front_content.php aufrufe bekomme ich den illegal_call
Nun habe ich mich eingeloggt, um den Startseitenartikel aufzurufen und stellte fest, dass der Arttikel im Backend problemlos läuft. Daher habe ich die URL (siehe oben) kopiert, den browser geschlossen und die die URL in einem neuen Fenster geöffnet. Der Artikel sollte eigentlich nicht übers backend aufrufbar sein. Ich musste mich auch nicht einloggen.
So wie es aussieht wird nicht geprüft, ob das backendfile von einem valid User aufgerufen wird.
http://meinedomain.de/contenido/externa ... =1&idcat=1
Gruss
Mittax
Re: Antwort
Ganz einfach, nimm das mr-Plugin für 4.8.8: http://forum.contenido.org/viewtopic.php?t=21578mittax hat geschrieben:Ich habe auf 4.8.8 geupdatet und mod_rewrite aus meiner 4.8.6 version drübergebügelt.
Irgendwie läuft die 4.8.8 nicht mit dem mod_rewrite. Da blick ich nicht ganz durch.
"Es wird keine Handlung geben, keine Geschichte mit ihrer Versprechung auf einen Anfang und ihrer Hoffnung auf ein Ende." (Andrzej Stasiuk)
Hallo Timo
Danke für den Tipp.
War schon drauf und dran die 6er anzupassen.
Das löst aber das Problem oben noch nicht. Ich kann die Artikel immernoch ohne Prüfung von Usern, session über die Backendurl des Editors aufrufen.
Ich habe gesehen, Ihr hab das Problem unter Euro Demodomain mit einer htaccess gelöst.
Gruss
Mittax
War schon drauf und dran die 6er anzupassen.
Das löst aber das Problem oben noch nicht. Ich kann die Artikel immernoch ohne Prüfung von Usern, session über die Backendurl des Editors aufrufen.
Ich habe gesehen, Ihr hab das Problem unter Euro Demodomain mit einer htaccess gelöst.
Gruss
Mittax
-
timo.trautmann_4fb
- Beiträge: 472
- Registriert: Di 15. Apr 2008, 15:57
- Wohnort: Michelstadt
- Kontaktdaten: