SWFUpload: 403 Fehler

Snowflake · 11. Januar 2009, 16:51

Hey ihr. Ich pushe das ganze hier mal hoch. Ich habe nämlich wieder ein Problem mit SWFUpload.

Und zwar habe ich die Seite bis jetzt immer Local entwickelt und getestet. Jetzt hab ich das ganze mal auf den Webspace kopiert und siehe da es geht alles bis auf SWFUpload.

Ich erhalte immer ein Error 403. Ich habe schon gegoogelt ob es bekannte Probleme gibt. Jedoch findet man keine Wirkliche lösung. Viele sagen es liegt am Server und dem Upload-script.

Mein Problem ist nur. Selbst wenn ich unter

Quellcode

upload_url:

Eine nicht existierende Datei hinschreibe, dann müsste ja eigentlich der Error 404 kommen.

Ich erhalte jedoch immernoch nach dem Abschicken ein Error 403.
Deswegen habe ich den Debugger mal true zugewiesen. Aber selbst daraus lese ich keinen Fehler.

Quellcode

---SWFUpload Instance Info---
Version: 2.2.0 Beta 3
Movie Name: SWFUpload_0
Settings:
upload_url: ../upload.php
flash_url: js/swfupload.swf?swfuploadrnd=589238443
use_query_string: false
requeue_on_error: false
http_success:
file_post_name: Filedata
post_params: [object Object]
file_types: *.jpg
file_types_description: JPG Images
file_size_limit: 2 MB
file_upload_limit: 0
file_queue_limit: 100
debug: true
prevent_swf_caching: true
button_placeholder_id: spanButtonPlaceholder
button_image_url: images/SmallSpyGlassWithTransperancy_17x18.png
button_width: 180
button_height: 18
button_text: <span class="button">Bilder hochladen <span class="buttonSmall">(2 MB Max)</span></span>
button_text_style: .button { font-family: Helvetica, Arial, sans-serif; font-size: 12pt; } .buttonSmall { font-size: 10pt; }
button_text_top_padding: 0
button_text_left_padding: 18
button_action: -110
button_disabled: false
custom_settings: [object Object]
Event Handlers:
swfupload_loaded_handler assigned: false
file_dialog_start_handler assigned: false
file_queued_handler assigned: true
file_queue_error_handler assigned: true
upload_start_handler assigned: false
upload_progress_handler assigned: true
upload_error_handler assigned: true
upload_success_handler assigned: true
upload_complete_handler assigned: true
debug_handler assigned: true
SWF DEBUG: SWFUpload Init Complete
SWF DEBUG:
SWF DEBUG: ----- SWF DEBUG OUTPUT ----
SWF DEBUG: Build Number: SWFUPLOAD 2.2.0 Beta 3 2008-11-16
SWF DEBUG: movieName: SWFUpload_0
SWF DEBUG: Upload URL: ../upload.php
SWF DEBUG: File Types String: *.jpg
SWF DEBUG: Parsed File Types: jpg
SWF DEBUG: HTTP Success: 0
SWF DEBUG: File Types Description: JPG Images (*.jpg)
SWF DEBUG: File Size Limit: 2097152 bytes
SWF DEBUG: File Upload Limit: 0
SWF DEBUG: File Queue Limit: 100
SWF DEBUG: Post Params:
SWF DEBUG: PHPSESSID=d668c2f64066ff29cebc66deef5bd8bc
SWF DEBUG: ----- END SWF DEBUG OUTPUT ----
SWF DEBUG:
SWF DEBUG: Event: fileDialogStart : Browsing files. Multi Select. Allowed file types: *.jpg
SWF DEBUG: Select Handler: Received the files selected from the dialog. Processing the file list...
SWF DEBUG: Event: fileQueued : File ID: SWFUpload_0_0
SWF DEBUG: Event: fileDialogComplete : Finished processing selected files. Files selected: 1. Files Queued: 1
SWF DEBUG: StartUpload: First file in queue
SWF DEBUG: Event: uploadStart : File ID: SWFUpload_0_0
SWF DEBUG: Global Post Item: PHPSESSID=d668c2f64066ff29cebc66deef5bd8bc
SWF DEBUG: ReturnUploadStart(): File accepted by startUpload event and readied for upload. Starting upload to ../upload.php for File ID: SWFUpload_0_0
SWF DEBUG: Event: uploadProgress (OPEN): File ID: SWFUpload_0_0
SWF DEBUG: Event: uploadProgress: File ID: SWFUpload_0_0. Bytes: 6350. Total: 6350
SWF DEBUG: Event: uploadError: HTTP ERROR : File ID: SWFUpload_0_0. HTTP Status: 403.
SWF DEBUG: Event: uploadComplete : Upload cycle complete.

Alles anzeigen

Hat jemand eine Ahnung, woran es liegen kann?
Fehlende Zugrifsrechte? Ich habe schon extra zum Testen die CHMOD auf 777 gestellt. Diesmal bin ich echt am verzweifeln :-/

EDIT://

OKay ich habe jetzt rausgefunden, dass es am Server und mod_security liegt. Das blockt flash in irgendeiner hinsicht.
Die lösung soll sein, dass man es abschaltet. Möchte ich einerseits nicht und kann ich wohl auch nicht ohne weiteres.

Dann soll man eine htaccess datei in den ordner mit der flash datei kopieren mit folgendem inhalt:

Quellcode

SecFilterEngine Off
SecFilterScanPOST Off

Erstelle ich das, funktioniert nur leider gar nichts mehr. Dadurch wird die flashdatei iwie unterdrückt.

Torben Brodt · 11. Januar 2009, 18:55

Inzwischen hast du bestimmt hier gesucht, oder? swfupload.org/search/node/403

Existieren denn irgendwelche .htaccess Dateien? Hast du Zugriff auf die Logdateien?

Snowflake · 11. Januar 2009, 19:11

Hey jaa da habe ich gesucht und viele weichen dann ziemlich stark vom thema ab oder sagen halt das mit der ModSecurity.

Hab ganz vergessen in die Log fIles zu schaun. Siehe da es liegt auch bei mir an ModSecurity.

[Sun Jan 11 18:15:46 2009] [error] [client xx.xx.xx.xx] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^Shockwave Flash" at REQUEST_HEADERS:User-Agent. [file "/etc/apache2/modsec2/20_asl_useragents.conf"] [line "242"] [id "330069"] [rev "12"] [msg "Suspicious Unusual User Agent (Shockwave Flash)"] [severity "CRITICAL"] [hostname "homepage.de"] [uri "/upload.php"] [unique_id "JA3es04vhpkAADirooMAAADB"]
[Sun Jan 11 18:55:06 2009] [error] [client xx.xx.xx.xx] File does not exist: /var/www/webXXX/html/0.thumb., referer: http://.....

Bis auf die .htaccess die ich erstellt hatte mit dem inhalt

Quellcode

SecFilterEngine Off
SecFilterScanPOST Off

existieren keine. Diese datei habe ich mitlerweile aber auch schon wieder gelöscht.

Edit:// Ich sehe gerade noch in der log file, wenn ich die .hataccess datei benutzt habe, kommt das in der logfile:

[Sun Jan 11 17:47:51 2009] [alert] [client xx.xx.xx.xx] /var/www/webXXX/html/flash/.htaccess: Invalid command 'SecFilterEngine', perhaps misspelled or defined by a module not included in the server configuration, referer: http://.....

Torben Brodt · 11. Januar 2009, 20:26

lass die .htaccess mal weg.
Aber wenn du nun die Seite aufrufst und den 403 Fehler produzierst - was steht dann in den Fehlermeldungen?
Wenn du entgegen aller Annahmen keine Meldung erhältst, dann schau mal in den access Log - dann ist irgendein Pfad falsch und du landest auf einem fremden Server.

Snowflake · 11. Januar 2009, 20:34

Hey also ohne .htaccess kommt auch der Fehler in der Log:

Quellcode

[Sun Jan 11 20:25:57 2009] [error] [client xx.xx.xx.xx] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^Shockwave Flash" at REQUEST_HEADERS:User-Agent. [file "/etc/apache2/modsec2/20_asl_useragents.conf"] [line "242"] [id "330069"] [rev "12"] [msg "Suspicious Unusual User Agent (Shockwave Flash)"] [severity "CRITICAL"] [hostname "....de"] [uri "/upload.php"] [unique_id "9Z1qGk4vhpkAAHiGs@kAAAAP"]

Habe aber auch gerade das bei der Suche gefunden:

mod_security 2.x doesn't let Apache recognize the directives in .htaccess context, making them look 'invalid', hence the 500 code.

Wohlmöglich lässt sich das Problem dann vllt gar nicht lösen, wenn ich es nicht ausschalten möchte und zweitens gar keinen zugriff auf die Config habe, oder?

Edit://
Achso und in der access_log steht alles so drin wie es eigentlich sein soll.

Quellcode

xx.xx.xx.xx - - [11/Jan/2009:20:25:56 +0100] "POST /upload.php HTTP/1.1" 403 212 "-" "Shockwave Flash"

Torben Brodt · 11. Januar 2009, 21:40

Für mod_security Version 2:

Quellcode

<IfModule mod_security2.c>
SecRuleEngine Off
</IfModule>

Für mod_security Version 1:

Quellcode

<IfModule mod_security.c>
SecFilterEngine Off
</IfModule>

Snowflake · 11. Januar 2009, 22:07

Hey danke schonmal.

Das ganze ist nur iwie doof und komisch zugleich. Füge ich das in die .htaccess ein, "hängt" sich SWFUpload wieder auf. Sprich ich kann nicht mehr drauf klicken und dateien auswählen. Es sieht einfach nur aus wie ein
Div elemten das eine hintergrundfarbe hat.

Und in der error_log steht das:

Quellcode

[Sun Jan 11 21:58:30 2009] [alert] [client xx.xx.xx.xx] /var/www/webXXX/html/flash/.htaccess: SecRuleEngine not allowed here, referer: http://....

Kann es vom Webhoster unterbunden werden, solche aktionen per .htaccess zu steuern?

Torben Brodt · 11. Januar 2009, 22:55

Snowflake schrieb:

Kann es vom Webhoster unterbunden werden, solche aktionen per .htaccess zu steuern?

ja.. kann. "Not Allowed Here" ist das typische Anzeichen. Dann weiß ich leider auch nicht weiter. Du hostest nicht zufällig selbst?

Snowflake · 11. Januar 2009, 23:03

Hey naja trotzdem danke, du hast ja versucht das Problem zu lösen.

Nein leider nicht. Ich hoste bei sysprovide.de.
Ich könnte die anschreiben und fragen ob sie mir mod_security auf off stellen.
Aber das ganze hat ja schon sein sinn, deswegen würde ich das ganze schon gerne laufen lassen. War ja auch sinnvoll wäre oder?

Gibt es sonst noch eine Methode, die du kennst für ein Multiupload der so simipel für den Benutzer ist?
Mir fällt da nur ein Uploaden einer Zip Datei ein, und man alles dann in den entsprechenden Ordner entpackt oder halt ein java applet find ich aber nicht so toll und kann ich gar nicht programmieren. so auch nicht nach meinen wünschen gestalten

Torben Brodt · 12. Januar 2009, 20:11

Nein, hab leider auch keine Idee :/
So eine User Agent Manipulation ist aber ziemlich simpel und sowieso nicht sicher. Frag also ruhig mal deinen Hoster.

Snowflake · 12. Januar 2009, 20:27

Hey ich hab den Hoster gestern nacht noch angeschrieben und heute Abend hab ich dann eine Antwort bekommen und sie haben es mir dann abgeändert. Jetzt funktioniert alles.
Und danke für die Aufklärung, dass es sowieso nicht sicher ist. Da hatte ich nämlich meine Bedenken. Aber wenn es sowieso nicht wirklich was bringt, ist es ja egal.

Also nochmal danke, d0nut.

SWFUpload: 403 Fehler

SWFUpload: 403 Fehler

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Snowflake schrieb:

Teilen

Tags