1. Wenn Ihr uns das erste Mal besucht, lest euch bitte zuerst die Foren-Regeln durch.
    Information ausblenden

Neu Shop4 Login Adminbereich wegen CSRF (Cross site request forgery) fehlgeschlagen

Dieses Thema im Forum "Installation / Updates von JTL-Shop" wurde erstellt von Joshi, 21. Juni 2017.

  1. Joshi

    Joshi Mitglied

    Registriert seit:
    30. Januar 2009
    Beiträge:
    48
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Hallo,
    soeben habe ich festgestellt, dass bei der Anmeldung in den Adminbereich der Hinweis :"Cross site request forgery!" kommt und das war es dann auch schon.
    Ich könnte mir fehlerhafte Parameter bei den Cookies vorstellen.
    Um diese zu ändern sollte man sich aber auch einloggen können, was leider nicht möglich ist.
    An welcher Stelle werden die Einstellungen vom Shop gespeichert?
    Datenbanktabelle oder Datei?
     
  2. Joshi

    Joshi Mitglied

    Registriert seit:
    30. Januar 2009
    Beiträge:
    48
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Hab es soeben selbst hinbekommen.
    Es lag wie vermutet beim Cookie-Eintrag.
    In der Tabelle teinstellungen nach dem Eintrag global_cookie_domain suchen und entsprechend richtig abändern.
    Nun funktioniert es wieder und ich kann mich einloggen.
     
  3. TheSMAX

    TheSMAX Neues Mitglied

    Registriert seit:
    13. Juli 2017
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo!

    ich habe das selbe Problem mit der Version 405.3. Im Prinzip hat schon mal alles funktioniert, aber der lokale Pfad war der falsche, also dachte ich mir: "Egal - einfach neu installieren". Die Daten vom FTP gelöscht, die ganzen Tables in der DB gelöscht. Die ganzen Files wieder rauf, Rechte gesetzt, Installationsroutine durchgegangen und die neuen Passwörter notiert und dann kommt beim Login immer die Meldung "Cross site request forgery!". Ich habe auch versucht die den cWert von global_cookie_domain zu setzen und die domäne in sämtlichen Schreibweisen versuht, aber immer das selbe Ergebnis. Bleibt da irgendwo etwas gespeichert, das ihn darauf schließen lässt, dass ich ein Hacker bin?

    Bin sehr dankbar für eine Antwort.

    The SMAX
     
  4. blitz

    blitz Neues Mitglied

    Registriert seit:
    28. März 2014
    Beiträge:
    28
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    Ich hab das selbe Problem finde nur den Eintrag nicht in der DB...... Ich hab nen Umzug vor von Subdomain auf Hauptdomain wenn ich die alte Sub nutze geht es ganz normal wenn ich die neue Haupt nutze kommt der gleiche fehler ..... Wo finde ich denn diesen Eintrag ?!?
     
  5. blitz

    blitz Neues Mitglied

    Registriert seit:
    28. März 2014
    Beiträge:
    28
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    Der Eintrag ist raus einfach im MySql eine SQLAbfrage starten


    Code:
    UPDATE teinstellungen SET cWert = ''
    WHERE cName = 'global_cookie_domain';
     
  6. emstore24

    emstore24 Neues Mitglied

    Registriert seit:
    19. November 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo,
    ich habe auch gleiche problem und ich kann nicht mehr im admin bereich Einloggen. Wenn ich hier die Beiträge lese und habe ich auch unter Globale Einstellung im Cookie bereich meine Domain eingetragen warum weis ich nicht ?
    Wie kann ich jetzt wieder im admin bereich Einloggen ? Kann ich die Globale Einstellung auch im DB ändern bzw. löschen ?
    Bitte um ein tip von JTL`er
    Danke
     
  7. emstore24

    emstore24 Neues Mitglied

    Registriert seit:
    19. November 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Vielen Dank für das tip.
    ich kann endlich wieder Einloggen
     
  8. _simone_

    _simone_ Gut bekanntes Mitglied

    Registriert seit:
    17. Februar 2013
    Beiträge:
    1.829
    Zustimmungen:
    62
    Punkte für Erfolge:
    48
    Beruf:
    ja
    Ort:
    Emsland
    Hab ich in der 4.06 ab und zu, aber bei einem nochmaligen Versucht klappt es dann meistens.
     
  9. Xantiva

    Xantiva Aktives Mitglied

    Registriert seit:
    28. August 2016
    Beiträge:
    780
    Zustimmungen:
    77
    Punkte für Erfolge:
    28
    Ort:
    Düsseldorf
    Ist mir gerade zum erstem Mal bei einem 4.05 Build 3 passiert. Das Login-Formular war längere Zeit (eine "Tatort"-Länge) geladen und dann habe ich mich angemeldet. Ohne weiter zu testen habe ich alle Cookies der Domain gelöscht und dann ging es wieder.
    Wenn die Uhrzeit bei der Anmeldung zur Absicherung verwendet wird, dann könnte das eine Ursache sein ...
     
  10. css-umsetzung

    css-umsetzung Offizieller Servicepartner SPBanner

    Registriert seit:
    6. Juli 2011
    Beiträge:
    2.164
    Zustimmungen:
    233
    Punkte für Erfolge:
    63
    Beruf:
    Freiberuflich
    Ort:
    Berlin
    Es ist vermutlich eher der Token der mit dem Ablauf der session dann auch invalid wird.
     
  11. Metropilot

    Metropilot Neues Mitglied

    Registriert seit:
    19. April 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Wo und wie bei phpMyAdmin kann man das genau machen? Habe das gleiche Problem nach Umzug auf neues Hosting Paket. Ich sehe und finde den Eintrag, aber wie ändern?
     

    Anhänge:

  12. Mirko.Schmidt

    Mirko.Schmidt Super-Moderator Mitarbeiter

    Registriert seit:
    14. August 2015
    Beiträge:
    988
    Zustimmungen:
    44
    Punkte für Erfolge:
    28
    Ort:
    Mönchengladbach
    Hallo,
    es gibt am oberen Rand den Tab "SQL" dort kann der SQL Befehl abgesetzt werden, also dieser hier:
    Code:
    UPDATE teinstellungen SET cWert = ''
    WHERE cName = 'global_cookie_domain';
    In das Eingabe Fenster einfach den Code einfügen und auf ok klicken.
     
    Metropilot gefällt das.
  13. Metropilot

    Metropilot Neues Mitglied

    Registriert seit:
    19. April 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Vielen Dank!

    Hatte ich mir gedacht, auch vorher schon mal so probiert, evt. muss ich noch was anderes bedenken?

    Ich werd noch kirre. Selbst bei jungfräulicher DB und neuem Shop install kommt die CSRF Warnung weiterhin.

    PHP-Version: 7.1.12, MySQL, v5.5.52
     

    Anhänge:

    Zuletzt bearbeitet: 4. Dezember 2017
  14. Mirko.Schmidt

    Mirko.Schmidt Super-Moderator Mitarbeiter

    Registriert seit:
    14. August 2015
    Beiträge:
    988
    Zustimmungen:
    44
    Punkte für Erfolge:
    28
    Ort:
    Mönchengladbach
    Die richtige Datenbank wurde aber ausgewählt oder? Weil "0 rows affected" ja bedeutet, dass nichts verändert wurde. Was eher daraufhin deutet, dass dieser Wert nicht existiert.
     
  15. Metropilot

    Metropilot Neues Mitglied

    Registriert seit:
    19. April 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke noch mal. Ich kenne mich leider nicht so gut aus mit phpMyAdmin, aber wenn die Datenbank so oben angezeigt wird sollte schon dort der Wert gesucht werden, oder? Hatte auch versucht direkt mit ausgewählter teinstellungen das auszuführen.
     

    Anhänge:

  16. Metropilot

    Metropilot Neues Mitglied

    Registriert seit:
    19. April 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Wenn ich direkt ausgewählt bei teinstellungen bin und unter SQL update mal klicke kommt diese Zeile:

    UPDATE `teinstellungen` SET `kEinstellungenSektion`=[value-1],`cName`=[value-2],`cWert`=[value-3],`cModulId`=[value-4] WHERE 1

    Ist denke eine Platzhalter Anzeige, sieht etwas anders aus als der oben genannte code.

    Oder kann das generell mit meinen Server Einstellungen zu tun haben?

    Database server:
    • Server: Localhost via UNIX socket
    • Server type: MariaDB
    • Server version: 5.5.52-MariaDB-cll-lve - MariaDB Server
    • Protocol version: 10
    • User: xxxx@localhost
    • Server charset: UTF-8 Unicode (utf8)
    Web server:

    • nginx/1.11.10
    • Database client version: libmysql - mysqlnd 5.0.11-dev - 20120503 - $Id: 76b08b24596e12d4553bd41fc93cccd5bac2fe7a $
    • PHP extension: mysqli[​IMG] curl[​IMG] mbstring[​IMG]
    • PHP version: 5.6.30
     

    Anhänge:

  17. Mirko.Schmidt

    Mirko.Schmidt Super-Moderator Mitarbeiter

    Registriert seit:
    14. August 2015
    Beiträge:
    988
    Zustimmungen:
    44
    Punkte für Erfolge:
    28
    Ort:
    Mönchengladbach
    Kein Problem. Wenn der Datenbank Name oben angezeigt wird, dann ist die richtige Datenbank ausgewählt und SQL Befehle werden auf dieser Datenbank ausgeführt. Aber was ich gerade erst in dem einem Screenshot sehe, hab's vorhin übersehen, dass der Wert doch schon leer ist. Da ist bisher nicht eingetragen. Ist dies jetzt immer noch der Fall wenn teinstellungen aufgerufen wird, dass 'global_cookie_domain' bei cWert nichts drin stehen hat? Wenn ja dann einmal den Browser Cache und die Cookies löschen und nochmal versuchen einzuloggen.
     
  18. Metropilot

    Metropilot Neues Mitglied

    Registriert seit:
    19. April 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke für den Tip. Habe Cache und Cookies gelöscht. Danach versucht einzuloggen, erneute CSRF Warnung. Mehrere Browser. Danach noch mal bei teinstellungen geschaut und folgende Einträge sind so (screenshot) hinterlegt.

    Wie gesagt, ich habe einen Paketwechsel bei meinem Provider gemacht. Neue IP und Nameserver bekommen. Von älterem Plesk auf neuere Version inkl. option auf neuere php Version (7.0 bzw. 7.1) zu gehen. Mit älterer php Version (5.4 glaube ich) hat der Shop vorher viele HTTP 500 Fehler gehabt und daher hatte ich den Wechsel angeschubst, dachte es liegt daran. Seitdem habe ich jedoch das CSRF Problem. Beim JTL test script ist alles im grünen Bereich.

    Wo kann ich noch nachforschen? Die Verbindung zum Shop (neu angelegt) kann ich in JTL herstellen. Nur der Admin Login weigert sich weiter vehement...
     

    Anhänge:

  19. vygi

    vygi Mitglied

    Registriert seit:
    14. Januar 2007
    Beiträge:
    260
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Servus!

    ich habe nun gleiches Problem, und zwar auf einem PLESK-basierten CentOS System.
    Mit der alten PHP Version 5.4 funktioniert alles - auch der Login. Nur die Warnung im Adminbereich wird wegen der alten PHP Version angezeigt.
    Mit den neueren PHP Versionen, die via Plesk verfügbar sind - 5.5 und 5.6 - funktioniert der Login NICHT: immer diese rote "Cross site request forgery!" Fehlermeldung...
    Zurück zu PHP 5.4 - und schon geht es wieder.

    Was nun?
    Gibt es eine Lösung?

    UPDATE teinstellungen SET cWert = '' WHERE cName = 'global_cookie_domain'; - das hilft nicht weil der Wert sowieso schon leer ist.
     
  20. FMoche

    FMoche Super-Moderator Mitarbeiter

    Registriert seit:
    15. Dezember 2014
    Beiträge:
    531
    Zustimmungen:
    33
    Punkte für Erfolge:
    28
    Ort:
    Halle (Saale)
    In 99.99% der Fälle ist PHP falsch konfiguriert, sodass keine Sessions geschrieben werden können.
    Also ggf. session_save_path etc. prüfen. Wahrscheinlich tritt das Problem auch im Frontend auf? Artikel in Warenkorb legen, Seite neu laden, Warenkorb ist leer?
     

Diese Seite empfehlen

Verstanden Weitere Informationen

JTL-Software benutzt Cookies, teilweise von Drittanbietern, um Funktionalitäten auf unseren Webseiten zu ermöglichen.