Hi,
ein "Vulnerability Scanner" namens "nuclei" (https://github.com/projectdiscovery/nuclei) hat es geschafft über einen XSS Angriff (https://github.com/projectdiscovery/...ss-params.yaml) ein Stück JS Code in meine tl_visitors_searchengines Tabelle im Feld visitor_keywords einzuschleusen. Der ist nicht kritisch, stört aber bei Aufruf der Statistik im Backend.
Das äußert sich durch ein Popup mit der Meldung "testing-xss1".
In so einem Fall kann man sich behelfen, in dem man mit einem DB Tool die Tabelle bereinigt:
Ich werde das näher analysieren und für alle Visitors Versionen ein Bugfix implementieren. (der das höchst wahrscheinlich auch bereinigen wird)Code:DELETE FROM `tl_visitors_searchengines` WHERE `visitors_keywords` LIKE '%testing-xss1%';
Danke an Ben und Hagen für die Infos.
Lesezeichen