403 Forbidden

MantisBT forum for users who prefer to ask and answer questions in Russian.

Moderators: Developer, Contributor

Post Reply
Barney
Posts: 13
Joined: 07 May 2021, 11:46

403 Forbidden

Post by Barney »

При заполнении задач с примерами кусков кода столкнулся в проблемой:
You don't have permission to access /mantis/bug_report.php on this server.
Если не использую примеры кода в задаче - все ок. Заполняю баг от имени администратора. В чем может быть проблема ?

php 7.4
MantisBT 2.25.0
BBCode+ 2.1.19
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

Какие дополнительные модули стоят?
Что выводиться в логах веб-сервера?
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Установлены следующие плагины:

BBCode+ 2.1.19
MantisBT Core 2.25.0
Taskodrome 2.1.8
Time Tracking 2.0.6
Графики MantisBT 2.25.0
Форматирование MantisBT 2.25.0

Логи к сожалению сейчас нет возможности проверить, смогу дать ответ скорее всего сегодня ближе к ночи.

Вот задача, после занесения которой вылезает ошибка:
example.txt
(2.07 KiB) Downloaded 5708 times
Если есть возможность, протестируйте пожалуйста у себя. Спасибо.
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

ss_20210512_210034_9.png
ss_20210512_210034_9.png (67 KiB) Viewed 89527 times
Вставился нормально. Не установлены плагины Taskodrome и Time Tracking. Можете попробовать их временно отключить?
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Извиняюсь за задержку ответа.

Плагины деактивировал, ошибка не ушла. Логи на домене не велись, подключил логирование, жду активации. Погоняю трекер, соберу ошибки и приложу в топик.

P.S. Если в трекере есть внутренний дебагер, подскажите пожалуйста, как его включить
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

Barney wrote: 13 May 2021, 20:35 P.S. Если в трекере есть внутренний дебагер, подскажите пожалуйста, как его включить
Да. Для этого в файле config/config_inc.php
включите логирование

Code: Select all

/**
 * System logging
 * This controls the type of logging information recorded.
 * The available log channels are:
 *
 * LOG_NONE, LOG_EMAIL, LOG_EMAIL_RECIPIENT, LOG_EMAIL_VERBOSE, LOG_FILTERING,
 * LOG_AJAX, LOG_LDAP, LOG_DATABASE, LOG_WEBSERVICE, LOG_PLUGIN, LOG_ALL
 *
 * and can be combined using
 * {@link http://php.net/language.operators.bitwise PHP bitwise operators}
 * Refer to {@link $g_log_destination} for details on where to save the logs.
 *
 * @global integer $g_log_level
 */
$g_log_level = LOG_ALL;

/**
 * Specifies where the log data goes
 *
 * The following five options are available:
 * - '':        The empty string means {@link http://php.net/error_log
 *              default PHP error log settings}
 * - 'none':    Don't output the logs, but would still trigger EVENT_LOG
 *              plugin event.
 * - 'file':    Log to a specific file, specified as an absolute path, e.g.
 *              'file:/var/log/mantis.log' (Unix) or
 *              'file:c:/temp/mantisbt.log' (Windows)
 * - 'page':    Display log output at bottom of the page. See also
 *              {@link $g_show_log_threshold} to restrict who can see log data.
 *
 * @global string $g_log_destination
 */
$g_log_destination = 'file:/var/log/mantis.log';
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Строки добавил в config/config_inc.php

Гоняю ошибку. Логи сервера молчат. Файл встроенного дебагера так же не появился ...
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

Проверил по коду - нигде вызовов кода ошибки 403 нет - только при доступу к MantisBT через API (REST / SOAP).
Поэтому явно ошибка на сервере. Вы можете попробовать развернуть эту копию на вашем компьютере используя, например, OpenServer.
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Начал составлять письмо в саппорт хостинга, про описании ошибки перешел на страницу ошибки /mantis/bug_update.php на прямую и увидел следующее предупреждение:
Файл, указанный в переменной $g_log_destination "/var/log/mantis.log", недоступен для записи.
Поиск по хостингу не нашел файла mantis.log

В корневом каталоге сайта создал папку var, в ней log, в ней mantis.log. Не доступен для записи. Дал права файлу 777, результат тот же. Что я делаю не правильно ?
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

Попробуйте изменить параметр

Code: Select all

$g_log_destination = 'file:/tmp/mantis.log';
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Спасибо. Теперь доступен для записи, но лог все равно молчит
Kirill
Posts: 638
Joined: 25 Nov 2007, 08:05
Location: Kaliningrad, RF
Contact:

Re: 403 Forbidden

Post by Kirill »

Как я и говорил, проблема скорее всего на стороне сервера. Поэтому и записей в логе нет. Туда сваливаются только сообщения от Мантис.
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Понял. Благодарю. Создам обращение в саппорт хостинга, надеюсь поднимут свои логи и укажут в чем проблема. Главное, чтобы не начали продавать другой тариф
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Наконец-то дошли руки обратиться в саппорт, вот что они мне написали:
У Вас по журналу ошибок наблюдается ошибка ,связанная с Mod_Security ровно по одному правилу

[Fri May 21 14:06:56.164637 2021] [:error] [pid 17955] [client 212.233.114.118:18874] [client 212.233.114.118] ModSecurity: Warning. Pattern match "(?:<\\\\?(?!xml\\\\s)|<\\\\?php|\\\\[(?:/|\\\\\\\\)?php\\\\])" at ARGS:description. [file "/usr/share/modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf"] [line "66"] [id "933100"] [msg "PHP Injection Attack: PHP Open Tag Found"] [data "Matched Data: <? found within ARGS:description: \\xd0\\x94\\xd0\\xbb\\xd1\\x8f \\xd1\\x82\\xd0\\xbe\\xd0\\xb3\\xd0\\xbe, \\xd1\\x87\\xd1\\x82\\xd0\\xbe\\xd0\\xb1\\xd1\\x8b \\xd0\\xbf\\xd0\\xbe\\xd0\\xbb\\xd1\\x83\\xd1\\x87\\xd0\\xb8\\xd1\\x82\\xd1\\x8c \\xd0\\xbf\\xd0\\xb5\\xd1\\x80\\xd0\\xb2\\xd1\\x83\\xd1\\x8e \\xd0\\xba\\xd0\\xb0\\xd1\\x80\\xd1\\x82\\xd0\\xb8\\xd0\\xbd\\xd0\\xba\\xd1\\x83 \\xd1\\x81 \\xd0\\xb7\\xd0\\xb0\\xd0\\xbf\\xd0\\xb8\\xd1\\x81\\xd0\\xb8, \\xd1\\x8f \\xd0\\xb8\\xd1\\x81\\xd0\\xbf\\xd0\\xbe\\xd0\\xbb\\xd1\\x8c\\xd0\\xb7\\xd1\\x83\\xd1\\x8e \\xd1\\x81\\xd0\\xbb\\xd0\\xb5\\xd0\\xb4\\xd1\\x83\\..."] [severity "CRITICAL"] [ver "OWASP_CRS/3.1.0"] [tag "application-multi"] [tag "language-php"] [tag "platform-multi"] [tag "attack-injection-php"] [tag "OWASP_CRS/WEB_ATTACK/PHP_INJECTION"] [tag "OWASP_TOP_10/A1"] [hostname "site.ru"] [uri "/mantis/bug_update.php"] [unique_id "YKeUUFqcqQYAACREUqYAAADT"], referer: https://site.ru/mantis/bug_update_page.php


Мы рекомендуем отключить данное правило или же мы можем отключить Mod_security с Вашего согласия ответным письмом для проверки работоспособности треккера.
Сейчас отключим Mod_security и проверим работоспособность. О результатах проверки и к чему в итоге пришли отпишу дополнительно
Barney
Posts: 13
Joined: 07 May 2021, 11:46

Re: 403 Forbidden

Post by Barney »

Хостер отключил ModSecurity, все заработало. Его комментарий следующий:
WAF блокировал запрос от баг-треккера, так как считал его ненадежным по своим собственным правилам
Post Reply