Elxis CMS Forum

Ελληνικό Forum => Διαχείριση => Topic started by: evkarab on April 09, 2016, 12:16:58

Title: Μη αποδεκτός χαρακτήρας...
Post by: evkarab on April 09, 2016, 12:16:58

Πάμε βόλτες στα βουνά και στα λαγκάδια και τις φωτογραφίες που βγάζουμε τις ανεβάζω στο google για να μην μου πιάνει χώρο στον server. Τώρα μέσω της εφαρμογής ενσωμάτωσης του google (picasa) θέλω να τις εμφανίζω στην ιστοσελίδα αλλά με κόβει ο υπερασπιστής. Unacceptable character in POST λέει. Τί δεν του αρέσει;

Αυτός είναι ο κώδικας:

Code: [Select]

<embed type="application/x-shockwave-flash" src="https://photos.gstatic.com/media/slideshow.swf" width="600" height="400" flashvars="host=picasaweb.google.com&captions=1&noautoplay=1&hl=en_US&feat=flashalbum&RGB=0x000000&feed=https%3A%2F%2Fpicasaweb.google.com%2Fdata%2Ffeed%2Fapi%2Fuser%2F104850857515274642307%2Falbumid%2F6271466150606986225%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCP76z6zbzYS1nAE%26hl%3Den_US" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed>
Βγάζει αυτό το σφάλμα: Reference code: SEC-DEFB-0008

Title: Re: Μη αποδεκτός χαρακτήρας...
Post by: datahell on April 10, 2016, 14:15:36

Για προστασία από επιθέσεις null byte και κωδικοποιημένων χαρακτήρων του unicode μπλοκάρει οτιδήποτε είναι της μορφής 0xΨΗΦΙΑ
Παράδειγμα: 0x00, 0x12, 0x31, κλπ
Εσένα σε κόβει λόγω αυτού: ...&RGB=0x000000...
Αφαίρεσε αυτό το κομμάτι από τον κώδικα ενσωμάτωσης.

Παράδειγμα φραγής από το security.log του defender (προσπάθεια sql injection):

GET /index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1
&list[select]=%20%28select%201%3Dupdatexml%281%2Cconcat%280x5e24%2C%28
select%20session_id%20from%20bmqkn_session%20
where%20guest%3D0%20limit%200%2C1%29%2C0x5e24%29%2C1%29%29
REFCODE: DEFG-0001 Request blocked, Method: URI, Reason: Unacceptable character