TYPO3：“类型”参数的可疑值。安全问题？

Question

在TYPO3网站的日志模块中，我看到一些错误，因为人们尝试使用“ type”参数的可疑/随机值来调用该网站，但由于未定义/配置该类型，最终出现错误消息。

示例：

https://www.example.com/path/?type=694
https://www.example.com/path2/?type=219

错误消息：

  

核心：异常处理程序（WEB）：未捕获的TYPO3异常：＃1294587217：   该页面未配置！ [type = 694] []。这意味着没有   配置为typeNum = 694的PAGE类型的TypoScript对象。

有人知道我是否不知道有安全问题吗？我需要做任何事情吗？

Answer 1

如果在TYPO3中未为https://www.example.com/path/?type=694请求的参数值未配置type，通常将config.typeNum这样的URL视为保存。

对于大多数参数，可以使用一个选项来配置TYPO3中的允许值，但是对于config.typeNum，TypoScript的引用，明确不建议这样做：

  

请勿在{{1​​}}列表中包含type参数，因为这可能会导致意外行为。

与随机值一起使用的其他参数（非config.linkVars！）

因此，假设存在另一个参数，该参数要求使用TYPO3安装中未配置的值。通用参数是type，用于请求页面的语言。如果存在具有3种语言的页面，则主要语言的参数为L，第二种语言的参数为L=0，最后一种语言的参数为L=1。
在这种情况下，可以使用

在TypoScript中配置允许的值

L=2

如果允许的链接变量从未表示线性范围，则可以这样配置：

config.linkVars = L(0-2)

也可以使用更通用的方法，因此可以限制值至少代表整数值：

config.linkVars = L(0|5|23)

参考：

• Configuration concerning config.linkvars
• Configuration concerning languages

其他注意事项

可以在服务器配置（即文件config.linkVars = L(int) ）中在较高级别过滤不允许的页面调用。可以在列表中包含此配置的方法

• 不允许的参数（或值）将用户重定向到TYPO3的主页或错误页面
• 不允许的参数（或值）将用户重定向到TYPO3之外的页面，也许是没有动态内容的静态页面
• 不允许的参数（或值）阻止用户访问任何服务器（通常是可定义的时间，即10分钟）
• 具有不允许的参数（或值）的页面请求被记录或被丢弃

此列表可能不完整，但仍需考虑。
关于这些工作，有几种意见，一种意见是应向系统TYPO3或管理员告知任何访问权限，并且也许能够解决用户看到错误但应看到常规页面的某些问题。
为何还有更多的争论为什么应该向TYPO3-admin通知一些未提供的参数或参数值，但是应该考虑一些论点：

• DDOS用请求攻击泛洪服务器，直到服务器无法满足任何请求。
• 在TYPO3中，每个请求都填充了数据库和硬盘中的一些空间。
• 防火墙还会过滤请求，并且可能不应该允许任何TYPO3-admin来将防火墙切换为非活动状态，而TYPO3无需采取特殊步骤就不会告知有关防火墙阻止的请求。

因此，可能有一些错误的参数是出于良好的目的发送的，但是许多请求可能有其他目的，因此建议阻止或重定向某些请求类型。应该保护服务器，并且TYPO3的错误日志应保持很小的范围，以使记录的错误与TYPO3问题广泛相关，而TYPO3问题可能需要TYPO3管理员的干预。