testing-xss1 Meldung im Backend
Hi,
ein "Vulnerability Scanner" namens "nuclei" (https://github.com/projectdiscovery/nuclei) hat es geschafft über einen XSS Angriff (https://github.com/projectdiscovery/...ss-params.yaml) ein Stück JS Code in meine tl_visitors_searchengines Tabelle im Feld visitor_keywords einzuschleusen. Der ist nicht kritisch, stört aber bei Aufruf der Statistik im Backend.
Das äußert sich durch ein Popup mit der Meldung "testing-xss1".
In so einem Fall kann man sich behelfen, in dem man mit einem DB Tool die Tabelle bereinigt:
Code:
DELETE FROM `tl_visitors_searchengines` WHERE `visitors_keywords` LIKE '%testing-xss1%';
Ich werde das näher analysieren und für alle Visitors Versionen ein Bugfix implementieren. (der das höchst wahrscheinlich auch bereinigen wird)
Danke an Ben und Hagen für die Infos.
Fix: testing-xss1 Meldung im Backend
Für Contao 4.9 und höher ist nun die Visitors Bundle Version 1.6.7 veröffentlicht.
Es behebt den Fehler und löscht die falschen Einträge in der Datenbank.
Für Contao 4.4 und Contao 3.5 wird ein Update folgen.