[3.2] AdminPasswort klarschriftlich lesbar im Error.log
Verfasst: 29.10.2019 12:52
Hallo liebe Gemeinde,
ich betreibe ein Forum der Version 3.2.5., mit Standardwerten und prosilver Theme.
Kürzlich bekam ich Probleme mit der Admin Anmeldung im Board. Es kam immer der Hinweis - Forbidden Access denied. Nach längerer Recherche konnte ich den ModSecurity vom Anbieter als Ursache identifzieren.
Ich habe im error.log vom Webspace recheriert und dabei fiel mir auf, dass in der Anmelde URL mein Passwort klarschriftlich geloggt ist. Das ist natürlich nicht so toll!
Kennt das Probelm jemand von Euch?
Die URL die bei der Anmeldung referenziert wird lautet: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d
Der Eintrag im Log sieht dann so aus.
ModSecurity: Warning. Pattern match "(?i)(?:\\\\x5c|(?:%(?:c(?:0%(?:[2aq]f|5c|9v)|1%(?:[19p]c|8s|af))|2(?:5(?:c(?:0%25af|1%259c)|2f|5c)|%46|f)|(?:(?:f(?:8%8)?0%8|e)0%80%a|bg%q)f|%3(?:2(?:%(?:%6|4)6|F)|5%%63)|u(?:221[56]|002f|EFC8|F025)|1u|5c)|0x(?:2f|5c)|\\\\/))(?:%(?:(?:f(?:(?:c%80|8)%8)?0%8 ..." at REQUEST_BODY. [file "/usr/share/modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "47"] [id "930100"] [msg "Path Traversal Attack (/../)"] [data "Matched Data: %2F..%2F found within REQUEST_BODY: username=HIER STEHT MEIN BENUTZERNAME&password_debf5bda8df090d8c0b1e3395771f839=HIER WIRD MEIN PASSWORT ANGEZEIGT redirect=.%2F..%2Fadm%2Findex.php%3Fsid%3D341d716318845f4cb2de2fa4d8c3115d&sid=341d716318845f4cb2de2fa4d8c3115d&credential=debf5bda8df090d8c0b1e3395771f839&login=Anmelden"] [severity "CRITICAL"] [ver "OWASP_CRS/3.1.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "OWASP_CRS/WEB_ATTACK/DIR_TRAVERSAL"] [hostname "www.meinwebspace.de"] [uri "/forum/adm/index.php"] [unique_id "XbgcMYUVvjKIo5gwMbYvdAAAAA8"], referer: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d
Zwischenzeitlich hat mein Anbieter ModSecurity deaktiviert und ich kann mich wieder einloggen.
Für mich ist nicht ganz klar, ob die Lesbarkeit im Log direkt vom phpbb kommt, wenn der Benutzer + PW übergeben werden oder ob das durch diesen ModSecurity kommt.
Könnt Ihr mir hier helfen?
ich betreibe ein Forum der Version 3.2.5., mit Standardwerten und prosilver Theme.
Kürzlich bekam ich Probleme mit der Admin Anmeldung im Board. Es kam immer der Hinweis - Forbidden Access denied. Nach längerer Recherche konnte ich den ModSecurity vom Anbieter als Ursache identifzieren.
Ich habe im error.log vom Webspace recheriert und dabei fiel mir auf, dass in der Anmelde URL mein Passwort klarschriftlich geloggt ist. Das ist natürlich nicht so toll!
Kennt das Probelm jemand von Euch?
Die URL die bei der Anmeldung referenziert wird lautet: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d
Der Eintrag im Log sieht dann so aus.
ModSecurity: Warning. Pattern match "(?i)(?:\\\\x5c|(?:%(?:c(?:0%(?:[2aq]f|5c|9v)|1%(?:[19p]c|8s|af))|2(?:5(?:c(?:0%25af|1%259c)|2f|5c)|%46|f)|(?:(?:f(?:8%8)?0%8|e)0%80%a|bg%q)f|%3(?:2(?:%(?:%6|4)6|F)|5%%63)|u(?:221[56]|002f|EFC8|F025)|1u|5c)|0x(?:2f|5c)|\\\\/))(?:%(?:(?:f(?:(?:c%80|8)%8)?0%8 ..." at REQUEST_BODY. [file "/usr/share/modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "47"] [id "930100"] [msg "Path Traversal Attack (/../)"] [data "Matched Data: %2F..%2F found within REQUEST_BODY: username=HIER STEHT MEIN BENUTZERNAME&password_debf5bda8df090d8c0b1e3395771f839=HIER WIRD MEIN PASSWORT ANGEZEIGT redirect=.%2F..%2Fadm%2Findex.php%3Fsid%3D341d716318845f4cb2de2fa4d8c3115d&sid=341d716318845f4cb2de2fa4d8c3115d&credential=debf5bda8df090d8c0b1e3395771f839&login=Anmelden"] [severity "CRITICAL"] [ver "OWASP_CRS/3.1.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "OWASP_CRS/WEB_ATTACK/DIR_TRAVERSAL"] [hostname "www.meinwebspace.de"] [uri "/forum/adm/index.php"] [unique_id "XbgcMYUVvjKIo5gwMbYvdAAAAA8"], referer: https://www.meinwebspace/forum/adm/inde ... a4d8c3115d
Zwischenzeitlich hat mein Anbieter ModSecurity deaktiviert und ich kann mich wieder einloggen.
Für mich ist nicht ganz klar, ob die Lesbarkeit im Log direkt vom phpbb kommt, wenn der Benutzer + PW übergeben werden oder ob das durch diesen ModSecurity kommt.
Könnt Ihr mir hier helfen?