[TYPO3-german] Language Parameter ?L=/proc/self/environ
bernd wilke
t3ng at bernd-wilke.net
Thu Sep 4 12:22:37 CEST 2014
Am 04.09.14 10:46, schrieb David Sporer:
> Hallo zusammen,
> ich habe die Pflege einer TYPO3-Seite übernommen, bei der sporadisch ?L=/proc/self/environ in Links angehängt wird.Ich vermute, dass da irgendwann mal ein Script versucht hat irgendwelche Umgebungsvariablen auszulesen. Soweit ich das sehe, tut der Aufruf des GET-Parameters alleine nicht weh, aber es ist trotzdem unschön.
> Kennt das jemand bzw. weiß, wo ich da anfangen muss zu suchen?
> Viele GrüßeDavid
>
dieser parameter könnte 'injected' sein.
es gibt eine Konfiguration in TYPO3:
config.linkVars
in der URL.Parameter angegeben werden, die immer durchgereicht, also an
jeden (internen) Link auf der Seite angehängt werden.
Da L bei TYPO3 typischerweise die Sprachauswahl ist, ist L dort
meistens eingetragen.
Wenn man nichts weiter konfiguriert dann wird bei jedem Seitenaufruf mit
dem Parameter L genau dieser Wert an alle Links angehängt, auch wenn er
nciht aus der Website selber kommt, sondern von außen:
http://domain.tld/index.php?id=123&L=irgendwas
die dabei generierte Seite wird (inkl. aller Links und Linkparameter)
dann auch noch gecachet. so bekommt der nächste Seitenbesucher die Seite
aus dem Cacahe inkl. dieser Parameter.
das kann sogar dazu führen, dass google die Seite(n) alle mit diesem
Parameter indiziert und die Leute mit diesem Parameter auf deine Website
schickt.
Dies kann insbesonder dann passieren, wenn jemand deine Website mit
einem speziellen L-Parameter aufruft, weil er ein anderes CMS vermutet,
das bei Angabe dieses speziellen L-Wertes ein Sicherheitsloch öffnet.
Damit ist dein Cache mit diesem Parameter verseucht. und google fidnet
im nächsten index-Lauf deiner Seite den Parameter an jedem Link und ruft
deine Seite demnächst sogar nur noch mit diesem Parameter auf: du
bekommst den Parameter immer wieder rein.
seit TYPO3 3.8 kann man das allerdings unterbinden, indem man die
validen Werte für diese Durchreich-Paramter mit angibt:
config.linkVars = L(0-3)
jetzt werden nur noch die Werte 0,1,2,3 weiter gereicht. Andere Werte
werden entfernt.
bernd
--
http://www.pi-phi.de/cheatsheet.html
More information about the TYPO3-german
mailing list