[3.2] AdminPasswort klarschriftlich lesbar im Error.log

Fragen rund um die Installation, Administration und Benutzung von phpBB 3.1.x und höher und die Konvertierung zu phpBB 3.2.x.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version [3.1.x] oder [3.2.x] angeben.
Antworten
S.Dittmar
Mitglied
Beiträge: 1
Registriert: 29.10.2019 12:41

[3.2] AdminPasswort klarschriftlich lesbar im Error.log

Beitrag von S.Dittmar » 29.10.2019 12:52

Hallo liebe Gemeinde,

ich betreibe ein Forum der Version 3.2.5., mit Standardwerten und prosilver Theme.

Kürzlich bekam ich Probleme mit der Admin Anmeldung im Board. Es kam immer der Hinweis - Forbidden Access denied. Nach längerer Recherche konnte ich den ModSecurity vom Anbieter als Ursache identifzieren.

Ich habe im error.log vom Webspace recheriert und dabei fiel mir auf, dass in der Anmelde URL mein Passwort klarschriftlich geloggt ist. Das ist natürlich nicht so toll!

Kennt das Probelm jemand von Euch?

Die URL die bei der Anmeldung referenziert wird lautet: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d

Der Eintrag im Log sieht dann so aus.

ModSecurity: Warning. Pattern match "(?i)(?:\\\\x5c|(?:%(?:c(?:0%(?:[2aq]f|5c|9v)|1%(?:[19p]c|8s|af))|2(?:5(?:c(?:0%25af|1%259c)|2f|5c)|%46|f)|(?:(?:f(?:8%8)?0%8|e)0%80%a|bg%q)f|%3(?:2(?:%(?:%6|4)6|F)|5%%63)|u(?:221[56]|002f|EFC8|F025)|1u|5c)|0x(?:2f|5c)|\\\\/))(?:%(?:(?:f(?:(?:c%80|8)%8)?0%8 ..." at REQUEST_BODY. [file "/usr/share/modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "47"] [id "930100"] [msg "Path Traversal Attack (/../)"] [data "Matched Data: %2F..%2F found within REQUEST_BODY: username=HIER STEHT MEIN BENUTZERNAME&password_debf5bda8df090d8c0b1e3395771f839=HIER WIRD MEIN PASSWORT ANGEZEIGT redirect=.%2F..%2Fadm%2Findex.php%3Fsid%3D341d716318845f4cb2de2fa4d8c3115d&sid=341d716318845f4cb2de2fa4d8c3115d&credential=debf5bda8df090d8c0b1e3395771f839&login=Anmelden"] [severity "CRITICAL"] [ver "OWASP_CRS/3.1.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "OWASP_CRS/WEB_ATTACK/DIR_TRAVERSAL"] [hostname "www.meinwebspace.de"] [uri "/forum/adm/index.php"] [unique_id "XbgcMYUVvjKIo5gwMbYvdAAAAA8"], referer: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d

Zwischenzeitlich hat mein Anbieter ModSecurity deaktiviert und ich kann mich wieder einloggen.

Für mich ist nicht ganz klar, ob die Lesbarkeit im Log direkt vom phpbb kommt, wenn der Benutzer + PW übergeben werden oder ob das durch diesen ModSecurity kommt.

Könnt Ihr mir hier helfen?

Antworten

Zurück zu „Support-Forum“