ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 15 years ago

Closed 15 years ago

#1455 closed defect (invalid)

管理画面のログイン前フッターの変更が失敗する

Reported by: imoto Owned by: kiwa
Priority: major Milestone:
Component: pne-admin Version: 2.10.x
Keywords: 再現せず Cc:

Description 

管理画面のログイン前フッターの変更が失敗する

管理画面のHTML挿入機能にある"ログイン前フッター"に
長い文字を指定した場合に、文字が途中までしか反映
されない問題で困っております。

具体的には
・フッターにJavaScript+HTMLを入力する(判定等が多く長い)
・更新を実施すると、フッターで指定した文字列が途中までしか保存されない。
約800バイト目程度で切れる。
・JavaScriptでは無い文字にした場合でも同様に切れる。
・MySQLのSQLログをみたら、UPDATE文時点で、文字列が切れた状態に
なっておるので、MySQLよりも前の段階で、切れている様子。
・ブラウザをいろいろと変えても同様。
・問題が発生するのは特定のSNSサイトだけ。同じ環境のSNSサイトでは発生しない。
(問題が発生する環境から、OpenPNEのソース,PHP設定, Apacheの設定を別サーバにコピーして 同じ事を試しても再現しない)
・OpenPNE=2.6.5, PHP=5.1.4, MySQL=5.0.24です。

なぜ文字が切れてしまうのかがまったく判らずにおります。
ご助言等頂ければ幸いです。

http://openpne.jp/?m=pc&a=page_c_topic_detail&target_c_commu_topic_id=2736

Change History (5)

comment:1 Changed 15 years ago by kiwa

報告元に解決・追加情報がありましたので報告いたします。 

某IPS(侵入防止システム)にて、GET形式の場合のパラメータに"<SCRIPT>タグ"が含まれている場合は、不正アタックとして、ガードしてしまっておりました。(IPSのログを見て判りました)
IPSの情報では、重要度は中と出ていたので、よっぽどの不正アタックに見えている様子。

対応としては、IPSにて該当のチェックはしない設定にすれば良いだけですが、そもそもOpenPNE自体の処理がセキュリティ的な問題を含んでいる事が根本原因の様にも思えております。。。
なぜリダイレクトしてGET形式のアクセスにしているんだろう。。。

comment:2 Changed 15 years ago by kiwa

Priority: minormajor

comment:3 Changed 15 years ago by imoto

Keywords: 再現せず added; 再現待ち removed

■再現せず
800バイト以上も保存される。
<SCRIPT>タグがあっても保存は可能だった。
報告元のIPS(侵入防止システム)が原因だったと思われる。

comment:4 Changed 15 years ago by kiwa

Owner: changed from nobody to kiwa

自己解決されているそうなのでこのチケットは閉じます

comment:5 Changed 15 years ago by kiwa

Resolution: invalid
Status: newclosed
Note: See TracTickets for help on using tickets.