Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [HTML][PHP]Zmienna passwd przy metodzie POST - blokowana strona
Forum PHP.pl > Forum > Przedszkole
amlam
27.10.2015, 14:04:38
Witajcie,
powierzono mi zadanie administrowanie CMS'em (Joomla) jednej ze stron. Wszystko szło ładnie przez dobry rok dopóki nie pojawił mi się błąd 500.
Po włączeniu opcji raportowania błędów otrzymałem taki komunikat:

CODE
[-:error] [pid 2677:tid 3599435523840 [client 213.241.41.100] ModSecurity: Warning. Pattern match "passwd" at ARGS_NAMES:passwd. [file "/opt/iq/httpd/conf/mod_security/iq/enabled/90_local.conf"] [line "72"] [id "118"] [severity "NOTICE"] [hostname "MOJA_STRONA"] [uri "/administrator/index.php"] [unique_id "ViXpm1Zv8QsAAAp1TFkAAACP"]


Mój provider (IQ.PL) poinformował mnie o rozwiązaniu problemu w następujący sposób:
"Proszę zmienić format przekazywanych danych tak by nie używał Pan przy metodzie POST zmiennej o nazwie passwd. W innym przypadku nasze zabezpieczenia będą skutecznie blokować takie wywołania."

Problem mój polega na tym, że nie znam ani PHP ani JS na tyle by wiedzieć gdzie szukać rozwiązania. Do tej pory poruszałem się w CMS ze znajomością HTML'a i to wystarczyło.
Niestety nie mamy innej obsługi informatycznej a autor strony już nie pracuje w firmie.

Panowie i Panie: gdzie/jak szukać rozwiązania? smile.gif

[edit]: Objawy błędu; po wejściu na stroną pokazuje się error 500. Podstronę/artykuł wystarczy odświeżyć i wszystko działa. Kliknięcie w kolejny link i podobna procedura: aby zobaczyć zawartość artykułu trzeba odświeżyć stronę.
markuz
27.10.2015, 15:09:51
Spróbuj jakimś narzędziem wyszukać wszystkie stringi passwd i zamienić na np. passwd123 - może się udać wink.gif
Tylko pamiętaj o wcześniejszej kopii jak nie masz repo.
adeptofvoltron
27.10.2015, 16:45:24
Cytat(markuz @ 27.10.2015, 15:09:51 ) *
Spróbuj jakimś narzędziem wyszukać wszystkie stringi passwd i zamienić na np. passwd123 - może się udać wink.gif
Tylko pamiętaj o wcześniejszej kopii jak nie masz repo.


drobna uwaga...jeśli ta zmienna passwd znajduje się w "Rdzeniu" joomli. to późniejsza aktualizacja joomli znów może ci całość zepsuć.
amlam
29.10.2015, 15:19:16
Czy wystarczy kopia z ftp i zwykłe wyszukanie tekstowe "passwd"?

Co do 2 uwagi to wydaje mi się słuszna i chyba trafna gdyż zarządzam również dokładną kopią mojej wadliwej strony (tylko lekko przerobionej typu nagłówek i trochę kontentu).
Strona działająca ma Joomlę 3.4.3
Strona niedziałająca została zaktualizowana do wersji wyższej i ta strona wyświetla się błędnie.

Co do wyszukiwania tekstowego "passwd" to wyszukiwanie w Windows znalazło mi w 2 plikach
1. template.css

CODE
#modlgn-username,
#modlgn-passwd
{
margin-right: 0;
}

.module_content #form-login-username label,
.module_content #form-login-password label
{
float:right;

}


2. perl.js - plik edytora codemirror ale nie sądzę aby to był problem gdyż passwd wystepuje tylko w opisie funkcji typu:

CODE
getpwent :1, // - get next passwd record
getpwnam :1, // - get passwd record given user login name
getpwuid :1, // - get passwd record given user ID


Jeżeli siedzi to w Joomli to gdzie powinienem tego szukać?
Jeżeli inne narzędzia niż wyszukiwanie tekstowe to proszę Kolegów o pomoc we wskazaniu czego mógłbym użyć :-)

Przepraszam za odpowiedz jedną pod drugą, ale nikt nic?
^ up
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.