Standige Fehlermeldung per Eail

Shopware 5 Sonstiges
1

Hallo Freunde,

Ich bekomme täglich per Email dieser Nachricht:

 

Message:

 Shopware\Components\CSRFTokenValidationException: The provided X-CSRF-Token for path "/yt.php" is invalid. Please go back, reload the page and try again. in /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Shopware/Components/CSRFTokenValidator.php:155 Stack trace: #0 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Library/Enlight/Event/Handler/Default.php(91): Shopware\Components\CSRFTokenValidator-\>checkFrontendTokenValidation(Object(Enlight\_Controller\_ActionEventArgs)) #1 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Library/Enlight/Event/EventManager.php(214): Enlight\_Event\_Handler\_Default-\>execute(Object(Enlight\_Controller\_ActionEventArgs)) #2 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Library/Enlight/Controller/Action.php(142): Enlight\_Event\_EventManager-\>notify('Enlight\_Control...', Object(Enlight\_Controller\_ActionEventArgs)) #3 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Library/Enlight/Controller/Dispatcher/Default.php(523): Enlight\_Controller\_Action-\>dispatch('indexAction') #4 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Library/Enlight/Controller/Front.php(223): Enlight\_Controller\_Dispatcher\_Default-\>dispatch(Object(Enlight\_Controller\_Request\_RequestHttp), Object(Enlight\_Controller\_Response\_ResponseHttp)) #5 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Shopware/Kernel.php(182): Enlight\_Controller\_Front-\>dispatch() #6 /mnt/web215/e0/03/54633303/htdocs/Shopware/vendor/symfony/http-kernel/HttpCache/HttpCache.php(491): Shopware\Kernel-\>handle(Object(Enlight\_Controller\_Request\_RequestHttp), 1, true) #7 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Shopware/Components/HttpCache/AppCache.php(266): Symfony\Component\HttpKernel\HttpCache\HttpCache-\>forward(Object(Symfony\Component\HttpFoundation\Request), true, NULL) #8 /mnt/web215/e0/03/54633303/htdocs/Shopware/vendor/symfony/http-kernel/HttpCache/HttpCache.php(258): Shopware\Components\HttpCache\AppCache-\>forward(Object(Symfony\Component\HttpFoundation\Request), true) #9 /mnt/web215/e0/03/54633303/htdocs/Shopware/vendor/symfony/http-kernel/HttpCache/HttpCache.php(275): Symfony\Component\HttpKernel\HttpCache\HttpCache-\>pass(Object(Symfony\Component\HttpFoundation\Request), true) #10 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Shopware/Components/HttpCache/AppCache.php(141): Symfony\Component\HttpKernel\HttpCache\HttpCache-\>invalidate(Object(Symfony\Component\HttpFoundation\Request), true) #11 /mnt/web215/e0/03/54633303/htdocs/Shopware/vendor/symfony/http-kernel/HttpCache/HttpCache.php(206): Shopware\Components\HttpCache\AppCache-\>invalidate(Object(Symfony\Component\HttpFoundation\Request), true) #12 /mnt/web215/e0/03/54633303/htdocs/Shopware/engine/Shopware/Components/HttpCache/AppCache.php(114): Symfony\Component\HttpKernel\HttpCache\HttpCache-\>handle(Object(Symfony\Component\HttpFoundation\Request), 1, true) #13 /mnt/web215/e0/03/54633303/htdocs/Shopware/shopware.php(117): Shopware\Components\HttpCache\AppCache-\>handle(Object(Symfony\Component\HttpFoundation\Request)) #14 {main}

Time:

 2018-07-05T13:00:15.064568+0200

Channel:

 core

request:

 { "uri": "/yt.php", "method": "POST", "query": { "module": "frontend", "controller": "yt.php", "action": "index" }, "post": { "yt": "die(pi()\*42);" } }

session:

 No session data available

shopId:

 1

shopName:

 UTS-Shop

 

kann jemand mir bitte sagen was das bedeutet und wie ich dieser fehler beheben kann?..Danke im vorraus

2

Grundsätzlich sollte man, wenn man einen Shop in Eigenregie führt, wenigstens ein paar Basics haben. Und wenn man die hätte, könnte man sich das Problem selber erklären.  Angry-Face

Der “X-CSRF-Token” wird dann zum Fehler, wenn auf dem Shop ein “POST”-Befehl abgesetzt wird, und dieses “Sicherheitstoken” dabei fehlt, oder falsch ist.
In Deinem Fall wird der “POST” auf die yt.PHP abgesetzt. Diese Datei existiert nicht, also fühlt sich Shopware für die “Abarbeitung” des Aufrufs zuständig. Shopware erkennt zwar, dass es sich um einen POST handelt, es fehlt aber der Token. Also wird der Fehler erzeugt. Es betrifft aber nicht Deinen Shop, da “Shopware” nur eine .php hat, die direkt aufgerufen wird, und das ist die shopware.php - so schlau ist Shopware aber nicht, und meldet “verdächtiger Seitenaufruf, der blockiert wurde”, und nicht “404 kenn ich nicht”.
Nun gehört yt.php aber nicht zu shopware. Vermutlich klappert ein Bot verschiedene Schwachstellen verschiedener Programme durch, und schon erzeugt es diesen Fehler.
Fazit: yt.php “X-CSRF-Token” ignorieren.
Der “Post” möchte, dass Dein yt.php das Ergebnis von Pi*42 ausgibt. Wird das korrekte Ergebnis ausgegeben, weiss der “Bot”, dass Deine Seite eine Schwachstelle hat, die man für böse Dinge ausnutzen kann.

3

Mit der Forensuche oben rechts findest Du viele Infos zum X-CSRF