Zugriff verursacht eine PHP Exception

deltapapa · 24. März 2024

Moin Moin,

ich konnte auf meinen Seiten folgendes VErhalten feststellen. Wenn böse Menschen/Maschinen meine Seiten mit folgender URL aufrufen:

https://domain.de/api/index.php/v1/users?public=true

dann erzeugt das einen Fehler:

Code

A PHP Exception occurred on your site. Here you can find the stack trace:
Exception Type: Joomla\CMS\Access\Exception\AuthenticationFailed
File: /html/cms/libraries/src/Application/ApiApplication.php

Ich merke das, weil mir Akeeba Admin Tools dann bescheid sagt.

So sieht die zeitliche Abfolge aus:

Das steht im Stack:

Spoiler anzeigen

Kann da jemand von euch was mit anfangen? Soll ich das als Bug melden? Passiert genauso auf all meinen Seiten!

Lg,

deltapapa

SniperSister · 24. März 2024

Das soll so passieren. Da wird ein API Endpunkt aufgerufen der nicht öffentlich ist, folglich gibt’s eine exception beim Zugriff

deltapapa · 24. März 2024

Supi, danke, dann muss ich mir keine sorgen machen! Schönes WE

Sieger66 · 24. März 2024

und könntest du verhindern per zusätzlichem Eintrag in der .htaccess vom Joomla-Root-Dateiordner

wie es am JoomlaDay DACH 2023 von David auch präsentiert wurde.

Also dort wo auch die configuration.php liegt:

Apache Configuration

# Allow access to specific files

RewriteCond %{REQUEST_URI} !^/index\.php$
RewriteCond %{REQUEST_URI} !^/administrator/index\.php$
RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/restore\.php$
RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/extract\.php$
RewriteCond %{REQUEST_URI} !^/api\/index\.php$
RewriteCond %{REQUEST_URI} !^/kickstart\.php$

# Block acess to all other existing .php files

RewriteCond %{REQUEST_URI} \.php$
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule .* - [F]

Alles anzeigen

Am Anfang der folgenden Stelle der .htaccess einfügen:

github.com/joomla/joomla-cms/blob/5.0.3/htaccess.txt#L82-L88

ACHTUNG WICHTIG !

Aber beachte das du auch noch weitere entsprechende Eintragungen machen mußt wenn außer Joomla noch andere PHP-Anwendungen/PHP-Scripte in diesem Dateiorder oder in einem seiner Dateiunterordner liegen und weiterhin aufrufbar sein sollen...

Oder auch wenn du z.B. die kickstart.php umbennant hast.

Denn diese aufrufe werden sonnst auch geblockt!!!

Wenn ich es richtig verstanden habe kannst du die Zeile:

Code

RewriteCond %{REQUEST_URI} !^/api\/index\.php$

weglassen solange du keine API-Aufrufe erlauben möchtest.

SniperSister · 24. März 2024

Das wird nicht „helfen“, API Zugriffe sind in dem htaccess Snippet explizit erlaubt.

Sieger66 · 24. März 2024

Ja, hatte ich nicht beachtet in #1 ist ja ein aufruf genannt worden überhttps://domain.de/api/index.php...

Hilft also nur dann wenn man die API nicht benötigt und die "API-Zeile" in der .htaccess weglässt.

Zugriff verursacht eine PHP Exception

Request information

GET variables

POST variables

COOKIE variables

REQUEST variables

SERVER variables