Re: [TYPO3-german] Language Parameter ?L=/proc/self/environ

Thu, 04 Sep 2014 03:26:02 -0700 

Am 04.09.14 10:46, schrieb David Sporer:

Hallo zusammen,
ich habe die Pflege einer TYPO3-Seite übernommen, bei der sporadisch 
?L=/proc/self/environ in Links angehängt wird.Ich vermute, dass da irgendwann 
mal ein Script versucht hat irgendwelche Umgebungsvariablen auszulesen. Soweit 
ich das sehe, tut der Aufruf des GET-Parameters alleine nicht weh, aber es ist 
trotzdem unschön.
Kennt das jemand bzw. weiß, wo ich da anfangen muss zu suchen?
Viele GrüßeDavid                                        


dieser parameter könnte 'injected' sein.

es gibt eine Konfiguration in TYPO3:
config.linkVars
in der URL.Parameter angegeben werden, die immer durchgereicht, also an jeden (internen) Link auf der Seite angehängt werden. Da L bei TYPO3 typischerweise die Sprachauswahl ist, ist L dort meistens eingetragen. Wenn man nichts weiter konfiguriert dann wird bei jedem Seitenaufruf mit dem Parameter L genau dieser Wert an alle Links angehängt, auch wenn er nciht aus der Website selber kommt, sondern von außen: 
http://domain.tld/index.php?id=123&L=irgendwas
die dabei generierte Seite wird (inkl. aller Links und Linkparameter) dann auch noch gecachet. so bekommt der nächste Seitenbesucher die Seite aus dem Cacahe inkl. dieser Parameter. das kann sogar dazu führen, dass google die Seite(n) alle mit diesem Parameter indiziert und die Leute mit diesem Parameter auf deine Website schickt. Dies kann insbesonder dann passieren, wenn jemand deine Website mit einem speziellen L-Parameter aufruft, weil er ein anderes CMS vermutet, das bei Angabe dieses speziellen L-Wertes ein Sicherheitsloch öffnet. Damit ist dein Cache mit diesem Parameter verseucht. und google fidnet im nächsten index-Lauf deiner Seite den Parameter an jedem Link und ruft deine Seite demnächst sogar nur noch mit diesem Parameter auf: du bekommst den Parameter immer wieder rein.
seit TYPO3 3.8 kann man das allerdings unterbinden, indem man die validen Werte für diese Durchreich-Paramter mit angibt: 
config.linkVars = L(0-3)
jetzt werden nur noch die Werte 0,1,2,3 weiter gereicht. Andere Werte werden entfernt. 


bernd
--
http://www.pi-phi.de/cheatsheet.html
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Antwort per Email an