Apfelinsel
Mac-Software => Thema gestartet von: Jochen am Juli 07, 2015, 12:00:44
-
Dachte ich hätte dies heute Morgen schon gepostet?
Habe einen service request an eine Software Firma gepostet.
Nach Senden kam unten aufgeführte Fehlermeldung.
Ich bitte um feedback ob jemand was dazu sagen kann ob das Problem bei mir liegt oder an der Website der Software Firma.
Feedback wäre nett.
Jochen
Server Error in '/' Application.
A potentially dangerous Request.Form value was detected from the client (maincontent_0$phstorerightcontent_0$txtdescription2="...dann noch <Ausgewählten Farbbe...").
Description: ASP.NET has detected data in the request that is potentially dangerous because it might include HTML markup or script. The data might represent an attempt to compromise the security of your application, such as a cross-site scripting attack. If this type of input is appropriate in your application, you can include code in a web page to explicitly allow it. For more information, see http://go.microsoft.com/fwlink/?LinkID=212874.
Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (maincontent_0$phstorerightcontent_0$txtdescription2="...dann noch <Ausgewählten Farbbe...").
Source Error:
An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.
Stack Trace:
[HttpRequestValidationException (0x80004005): A potentially dangerous Request.Form value was detected from the client (maincontent_0$phstorerightcontent_0$txtdescription2="...dann noch <Ausgewählten Farbbe...").]
System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection) +9685893
System.Web.HttpRequest.ValidateHttpValueCollection(HttpValueCollection collection, RequestValidationSource requestCollection) +184
System.Web.HttpRequest.get_Form() +55
Sitecore.Pipelines.PreprocessRequest.SuppressFormValidation.Process(PreprocessRequestArgs args) +131
(Object , Object[] ) +59
Sitecore.Pipelines.PipelineMethod.Invoke(Object[] parameters) +36
Sitecore.Pipelines.CorePipeline.Run(PipelineArgs args) +241
Sitecore.Pipelines.CorePipeline.Run(String pipelineName, PipelineArgs args, String pipelineDomain, Boolean failIfNotExists) +158
Sitecore.Pipelines.CorePipeline.Run(String pipelineName, PipelineArgs args, String pipelineDomain) +64
Sitecore.Pipelines.CorePipeline.Run(String pipelineName, PipelineArgs args) +50
Sitecore.Nexus.Web.HttpModule.��(Object ��, EventArgs ��) +592
System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +136
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +69
Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.34248
-
???
Ich vermute mal:
- Du hast ein Webformular für eine Supportanfrage bei einer Software-Firma aufgerufen und mit Inhalt gefüllt.
- Dann hast Du das Formular abgeschickt.
- Dann kam die Fehlermeldung
Richtig?
-
???
Ich vermute mal:
- Du hast ein Webformular für eine Supportanfrage bei einer Software-Firma aufgerufen und mit Inhalt gefüllt.
- Dann hast Du das Formular abgeschickt.
- Dann kam die Fehlermeldung
Richtig?
So war es im Prinzip.
Inhalt mit Text gefüllt. (Heute morgen habe ich auch noch zwei Anhänge beigefügt)
Dann auf einen Button Next gedrückt. In der Regel sind es immer drei Schritte.
Inhalt > Next, danach kam Meldung.
Dann kommt Seite wo alles noch mal übersichtlich dargestellt wird > Next
Dann kommt feedback Seite mit Request Nr, usw.
Jochen
-
OK, dann habe ich verstanden.
Ich bitte um feedback ob jemand was dazu sagen kann ob das Problem bei mir liegt oder an der Website der Software Firma.
Meine Meinung dazu:
Das Problem liegt begründet in der Website der Firma und das Problem wurde ausgelöst durch Dich.
In der Fehlermeldung steht drin:
"ASP.NET has detected data in the request that is potentially dangerous because it might include HTML markup or script."
D.h. in den von Dir geschickten Daten war irgendwas drin, was wie HTML oder ein Skript aussieht.
Hintergrund:
So etwas ist potentiell gefährlich für eine Website. Nimmt man z.B. ungeprüft Daten entgegen und verarbeitet die, dann kann ein Bösewicht statt sinnvoller Daten eben HTML oder Skripte mitschicken, welches dann automatisch in die Website integriert wird oder dort ausgeführt wird. Stell Dir z.B. vor, Du würdest hier im Forum in das Textfeld ein JavaScript einbetten, welches ständig eine Warnmeldung auf den Bildschirm ausgibt. Dann würde jeder, der Deinen Beitrag lesen möchte, ständig mit Warnmeldungen traktiert werden. Oder Du schreibst in Deinen Beitrag HTML-Code rein, der auf eine andere Seite umleitet. Dann könnte niemand mehr Deinen Beitrag lesen ohne auf eine andere Seite umgelenkt zu werden.
Warum meine ich, dass Du das Problem ausgelöst hast:
Du hast vermutlich irgendwas ins Formular eingetragen, was wie HTML oder Skripte aussieht oder das sogar ist. Ich gehe mal davon aus, dass das nicht bösartig geschah, sondern der Problembeschreibung diente, also ein legitimes Eintragen.
Warum meine ich, dass die Website der Firma das Problem ist:
Meiner Meinung nach, sollte eine Website die übergebenen Daten auf solche Probleme prüfen und die eingebetteten potentiell gefährlichen Dinge entfernen oder besser unschädlich machen. So macht es z.B. unser Forum hier. Das macht die Website aber anscheinend nicht, sondern hier greift eine automatische Sicherheitseinrichtung.
Da nämliche viele Entwickler die übergebenen Sachen nicht prüfen und filtern, gab es viele erfolgreiche Angriffe auf solche Seiten. Damit das nicht mehr so häufig passiert, wurde hier der Standard darauf geändert, dass bei HTML und Skripten in der Eingabe eine Fehlermeldung produziert wird.
Wenn die Firma gut wäre, dann würden sie diese Sicherheitseinrichtung deaktivieren, nachdem(!) sie eingebaut haben, dass Eingaben geprüft und gefiltert werden.
-
Danke für feedback
OK, dann habe ich verstanden.
Ich bitte um feedback ob jemand was dazu sagen kann ob das Problem bei mir liegt oder an der Website der Software Firma.
Meine Meinung dazu:
Das Problem liegt begründet in der Website der Firma und das Problem wurde ausgelöst durch Dich.
In der Fehlermeldung steht drin:
"ASP.NET has detected data in the request that is potentially dangerous because it might include HTML markup or script."
D.h. in den von Dir geschickten Daten war irgendwas drin, was wie HTML oder ein Skript aussieht.
Das ist eigentlich normaler Text in folgender Art.
Habe Frage zu Farbe > Farbeditor > Erweitert.
Habe mit Pipette das rote Boot ausgewählt.
Wenn ich den Befehl <Ausgewählten Farbbereich anzeigen> auswähle, wird der blaue Himmel markiert. Ist das richtig? Bitte um feedback.
Das einzigste könnten die Pfeile sein?
Habe ich aber früher auch schon mal gepostet mit den Klammern.
Jochen
-
Ja, sind die Kleiner/Größer-Zeichen.
Das sieht für eine ganz einfache Prüfung so aus, als ob das ein HTML-Tag ist:
<Ausgewählten Farbbereich anzeigen>
Wie Du siehst, kann man das hier problemlos in ein Formular eingeben und das wird verarbeitet.
Die Firma ist "zu faul", die Eingaben vernünftig zu filtern.
So etwas sollte doch wohl problemlos eingebbar sein. :(
Aber weil eben viele so faul sind und dann echte böse Angriffe bekamen, ist da so eine sehr simple Prüfung mit Fehlermeldung standardmäßig aktiv, in Du jetzt aus Versehen getappt bist.
Also:
Problemauslöser bist Du;)
Problemverursacher sind die.
-
Also:
Problemauslöser bist Du;)
Problemverursacher sind die.
Danke für Hilfe und Lösung!!!
Wenn ich (wir) dich nicht hätte(n), sähe es manchmal sehr duster im Schacht aus. ;D
Jochen
-
Ich würde denen das auf jeden Fall auch mitteilen.
Potentiell böse Zeichen sind übrigens:
< > " &
Ungefiltert kann man eine Menge böser Sachen machen bis hin zu Datenbank übernehmen/löschen, Kennwörter klauen...
daher ist das Prüfen und Filtern wichtig, aber auch nicht schwer.
-
Ich würde denen das auf jeden Fall auch mitteilen.
Fehlermeldung habe ich denen schon geschickt.
Jochen