1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Security auf pcwelt.de

Discussion in 'Sicherheit' started by darkprojekt, Apr 21, 2008.

?

Ist interne Details (Pfade, Selects etc.) ein Sicherheitsrisiko?

  1. Ja, einen Fehlermeldung sollte einem Remote-Benutzer diese niemals zeigen

    1 vote(s)
    100.0%

  2. Unter Umständen schon

    0 vote(s)
    0.0%

  3. Vielleicht, weiss nicht so recht

    0 vote(s)
    0.0%

  4. Nein, kann ja doch niemand damit etwas anfangen

    0 vote(s)
    0.0%

  5. Keine Meinung

    0 vote(s)
    0.0%
Thread Status:
Not open for further replies.
  1. darkprojekt

    darkprojekt Byte

    Diskussion in die Runde ... ist die folgende Fehlermeldung vom PCWelt-Server ein Sicherheitsrisiko?

    Interne Dateipfade, komplette Selects ....

    Railo 2.0.0.045 Error (Database)Message
    The multi-part identifier "files.averagerating" could not be bound.

    Detail
    The multi-part identifier "files.averagerating" could not be bound.

    SQL
    select a.pkarticles, files.averagerating from articles a WITH (NOLOCK) inner join pages_articles pa on a.pkarticles = pa.fkarticles and a.redirectid = 0 and pa.fkpages in (892) and a.fkstatus >= 5 group by a.pkarticles, files.averagerating order by files.averagerating desc

    Stacktrace

    The Error Occurred in



    [​IMG] /storage/pcwelt/idgwppcw/templates/pages/lists/articles/lists/pagesdownloads.cfm: line 105
    103: group by a.pkarticles, #sSortName#​
    104: order by #sSortName#​
    105: <cfif sdir is 1>
    106: desc​
    107: </cfif>​


    [​IMG] called from/data/idg/railo/customtags/sitefusionmx/publish/sfmx_displayobjects_call.cfm: line 503
    501: </cfif>​
    502: </cfif>​
    503: <cfinclude template="#validtemplatepath#">
    504: <cfcatch type="MissingInclude">​
    505: Not found: <cfoutput>#cfcatch.missingfilename#</cfoutput>​


    [​IMG] called from/data/idg/railo/customtags/sitefusionmx/publish/sfmx_displayobjects.cfm: line 41
    39: <cfelse>​
    40: <!--- <cfif server.coldfusion.productName eq "Railo" OR isDefined("url.callRailo")> --->​
    41: <cfinclude template="sfmx_displayobjects_call.cfm">
    42: <!--- <cfelse>​
    43: <cfinclude template="sfmx_dilayobjects_callcfmx.cfm">​


    [​IMG] called from/storage/pcwelt/idgwppcw/templates/pages/pagetypes/downloads.cfm: line 37
    35: ShowPaging = "1"​
    36: addsub = "#url.pid#_#url.p#"​
    37: getstaticssi="#request.contentstaticssi#">
    38: ​
    39: </span><!--- nbsp / MB / 2007-05-14 HH:mm / END nointelliTXT auf Uebersichtsseiten --->​


    [​IMG] called from/storage/pcwelt/idgwppcw/templates/pages/main.cfm: line 4
    2: <cfinclude template="#request.page.headtemplate#">​
    3: <!--- Content-Template --->​
    4: <cfinclude template="#request.page.contenttemplate#">
    5: <!--- Standard Foot Template --->​
    6: <cfinclude template="#request.page.foottemplate#">​


    [​IMG] called from/storage/pcwelt/idgwppcw/html-data/index.cfm: line 27
    25: </cfsilent>​
    26: <!--- nbsp / MB / 2007-04-11 HH:mm / Main-Page --->​
    27: <cfinclude template="/#request.rootdir#/templates/pages/main.cfm">
    Java StacktraceThe multi-part identifier "files.averagerating" could not be bound. at net.sourceforge.jtds.jdbc.SQLDiagnostic.addDiagnostic(SQLDiagnostic.java:365):365 at net.sourceforge.jtds.jdbc.TdsCore.tdsErrorToken(TdsCore.java:2781):2781 at net.sourceforge.jtds.jdbc.TdsCore.nextToken(TdsCore.java:2224):2224 at net.sourceforge.jtds.jdbc.TdsCore.getMoreResults(TdsCore.java:628):628 at net.sourceforge.jtds.jdbc.JtdsStatement.processResults(JtdsStatement.java:525):525 at net.sourceforge.jtds.jdbc.JtdsStatement.executeSQL(JtdsStatement.java:487):487 at net.sourceforge.jtds.jdbc.JtdsStatement.executeImpl(JtdsStatement.java:664):664 at net.sourceforge.jtds.jdbc.JtdsStatement.execute(JtdsStatement.java:1114):1114 at railo.runtime.type.QueryImpl.(Unknown Source):-1 at railo.runtime.tag.Query.a(Unknown Source):-1 at railo.runtime.tag.Query.doEndTag(Unknown Source):-1 at templates.pages.lists.articles.lists.pagesdownloads$cfm.call(/storage/pcwelt/idgwppcw/templates/pages/lists/articles/lists/pagesdownloads.cfm:105):105 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at sitefusionmx.publish.sfmx_displayobjects_call$cfm.call(/data/idg/railo/customtags/sitefusionmx/publish/sfmx_displayobjects_call.cfm:503):503 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at sitefusionmx.publish.sfmx_displayobjects$cfm.call(/data/idg/railo/customtags/sitefusionmx/publish/sfmx_displayobjects.cfm:41):41 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.tag.CFTag.cp(Unknown Source):-1 at railo.runtime.tag.CFTag.cq(Unknown Source):-1 at railo.runtime.tag.CFTag.doStartTag(Unknown Source):-1 at templates.pages.pagetypes.downloads$cfm.call(/storage/pcwelt/idgwppcw/templates/pages/pagetypes/downloads.cfm:37):37 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at templates.pages.main$cfm.call(/storage/pcwelt/idgwppcw/templates/pages/main.cfm:4):4 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at index$cfm.call(/storage/pcwelt/idgwppcw/html-data/index.cfm:27):27 at railo.runtime.PageContextImpl.include(Unknown Source):-1 at railo.runtime.listener.ClassicAppListener._onRequest(Unknown Source):-1 at railo.runtime.listener.MixedAppListener.onRequest(Unknown Source):-1 at railo.runtime.PageContextImpl.execute(Unknown Source):-1 at railo.runtime.engine.CFMLEngineImpl.serviceCFML(Unknown Source):-1 at railo.loader.servlet.CFMLServlet.service(CFMLServlet.java:32):32 at javax.servlet.http.HttpServlet.service(HttpServlet.java:91):91 at com.caucho.server.dispatch.ServletFilterChain.doFilter(ServletFilterChain.java:103):103 at com.caucho.server.cache.CacheFilterChain.doFilter(CacheFilterChain.java:158):158 at com.caucho.server.webapp.WebAppFilterChain.doFilter(WebAppFilterChain.java:178):178 at com.caucho.server.dispatch.ServletInvocation.service(ServletInvocation.java:241):241 at com.caucho.server.hmux.HmuxRequest.handleRequest(HmuxRequest.java:435):435 at com.caucho.server.port.TcpConnection.run(TcpConnection.java:586):586 at com.caucho.util.ThreadPool$Item.runTasks(ThreadPool.java:690):690 at com.caucho.util.ThreadPool$Item.run(ThreadPool.java:612):612 at java.lang.Thread.run(Thread.java:619):619
     
    darkprojekt, Apr 21, 2008
    #1
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Für wen ein Sicherheitsrisiko... für Dich, für den Verlag oder für den Mann im Mond :) ?
     
    Wolfgang77, Apr 21, 2008
    #2
  3. kalweit

    kalweit Hüter der Glaskugel

    ...mal deine Umfrage mit in deine Frage eingewoben: nö - die Angaben nützen dir nichts. Die Webserver sind readonly :baeh: - zudem, würde es die Meldungen nicht geben, dann müsste die Bastelbude die Fehler ganz allein finden und fixen. Und wo das endet, sehen wir hier jeden Tag :schlafen:
     
    kalweit, Apr 21, 2008
    #3
  4. darkprojekt

    darkprojekt Byte

    Die Dateien auf dem Webserver sind für Normal-Benutzer vielleicht readonly, die DB ist es aber schätzungsweise nicht. Und mit jeder Detail-Information lässt sich ein möglicher Angriffspunkt ermitteln.

    Aus diesem Grund kennt man eigentlich schon lange das Verfahren, intern detailierte Fehler zu loggen, dem system-unkundigen Anwender aber eine vereinfachte Fehlerseite anzuzeigen.

    Aber es ist natürlich jedem Webseitenbetreiber selbst überlassen, wie viel Angriffsfläche er seinen Benutzern geben möchte ...
     
    darkprojekt, Apr 21, 2008
    #4
  5. kalweit

    kalweit Hüter der Glaskugel

    Das ganze Dateisystem ist es und an andere Dienste kommst du nur aus dem internen Netz. Bliebe noch die Manipulation der Requests, um die Datenbank mit "falschen" Werten zu füttern. Dafür reicht aber eh das Lesen des Seitenquelltextes und das Header angucken.

    Jo, sicher kennt man das. Nur ist nicht unbedingt alles was im Schulbuch steht auf die vorliegende Anlage anwendbar ;)
     
    kalweit, Apr 21, 2008
    #5
Thread Status:
Not open for further replies.

Share This Page