Julius Beckmann » Wordpress http://juliusbeckmann.de/blog Ich bin nicht verrückt, nur technisch begabt ... Wed, 05 Jun 2013 11:02:57 +0000 http://wordpress.org/?v=2.8.2 en hourly 1 Facebook: Like Buttons uses wrong url http://juliusbeckmann.de/blog/facebook-like-buttons-uses-wrong-url.html http://juliusbeckmann.de/blog/facebook-like-buttons-uses-wrong-url.html#comments Mon, 11 Apr 2011 09:20:40 +0000 Julius http://juliusbeckmann.de/blog/?p=776 I use the digg-digg Wordpress Plugin on this blog and found a annoying error - the like button does not use the correct url. I found out why and how to correct it.

What happened

  • I wrote a new article and watched the preview of it.
  • Digg-Digg showed the buttons on the preview page.
  • I published the article and tried the Like Button.
  • The Like Button did not use the correct url, in my case: juliusbeckmann.de/article-name.html instead of juliusbeckmann.de/blog/article-name.html.

Explained

While watching the preview, die like button send the preview url to facebook. Now facebook tried to fetch the page, but was redirected because the article was not published yet. Facebook "guessed" a url and came up with "juliusbeckmann.de/" what got cached.
Now i published the articled, used the like button, but facebook does not use the new url, they used the old guessed and cached url from the preview.

Solution

Solution is simple: Do not show the facebook like button on preview pages that will not be visibile for facebook.

Hack for Digg-Digg

Hacking Digg-Digg is simple. Open the file "digg-digg.php" and find the function "dd_hook_wp_content".
Now replace this code:

global $wp_query;
$post = $wp_query->post; //get post content

with this code:

global $wp_query;
// Hack - No Digg-Digg on preview pages  by JuliusBeckmann.de
if($wp_query->is_preview){
   return $content;
}
$post = $wp_query->post; //get post content
]]> http://juliusbeckmann.de/blog/facebook-like-buttons-uses-wrong-url.html/feed 0 Wordpress: Remote Admin Reset Password Exploit | Wie es dazu kommen konnte http://juliusbeckmann.de/blog/wordpress-remote-admin-reset-password-exploit-wie-es-dazu-kommen-konnte.html http://juliusbeckmann.de/blog/wordpress-remote-admin-reset-password-exploit-wie-es-dazu-kommen-konnte.html#comments Tue, 11 Aug 2009 15:53:21 +0000 Julius http://juliusbeckmann.de/blog/?p=360 Wieder einmal eine Lücke in Wordpress. Ich mach mir mal die Mühe und zeige die Umstände wie es dazu kommen konnte.

In der wp-login.php gibt es die Möglichkeit mit den Paramatern: ?action=rp&key=LANGER_KEY ein Passwort zurücksetzten zu lassen. Bedingung hierfür ist jedoch dass der key in der Datenbank gefunden wurde.

Code:

Schauen wir uns mal den Code genauer an:

function reset_password($key) {
global $wpdb;

$key = preg_replace('/[^a-z0-9]/i', '', $key);

if ( empty( $key ))
return new WP_Error('invalid_key', __('Invalid key'));

$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key));
if ( empty( $user ) )
return new WP_Error('invalid_key', __('Invalid key'));

// Generate something random for a password...
$new_pass = wp_generate_password();

do_action('password_reset', $user, $new_pass);

...

Erklärung:

Der Parameter $key kommt direkt von $_GET['key']. Dieser wird jetzt mit preg_replace() aller Zeichen ausser a-zA-Z0-9 bereinigt. Und hier liegt auch schon das Problem. Dummerweise akzeptiert preg_replace() auch Arrays als Parameter wo dann jeder einzelne Eintrag des Arrays abgearbeitet wird. Link zur PHP Doku: http://de.php.net/manual/en/function.preg-replace.php.

Was manche nicht wissen, es ist möglich auch ein Array per GET zu übergeben. Man müsste dazu in der URL schreiben: &key[]=eintrag.

Wenn man dies nun macht wird nach dem preg_replace $key ein Array sein mit genau einem Element drin. Da aber Arrays mit mindestens einem Element drin als true gewertet werden liefert empty($key) hier false und es wird KEINE Fehlermeldung ausgespuckt.
Was danach passiert ist teils auch nicht so ganz offensichtlich. Im Aufruf von $wpdb->prepare wird $key benutzt welches, da es ein Array und kein String ist nicht korrekt geparsed welches zu folgender Query führt: "SELECT * FROM jb_v1_users WHERE user_activation_key = ''". Es steht jetzt am Schluss = '' - diese Query findet also den ersten Datensatz in der user Tabelle wo die Spalte user_activation_key leer ist. Dies ist meistens der Admin. Im Nachfolgenden Code wird jetzt das Passwort des Admins geändert was auch schon den ganzen Exploit ausmacht. Der Admin kann sich vorerst nicht mehr einloggen.

Beheben lässt sich das ganze indem der Admin einfach seinen Passwort Hash in der Datenbank ändert und sich so wieder einloggen kann.

Fix:

Um diese Lücke zu fixen gibt es mehrere Möglichkeiten:

Wir machen aus:

$key = preg_replace('/[^a-z0-9]/i', '', $key);
$key = preg_replace('/[^a-z0-9]/i', '', (string)$key);

was uns dann immer einen String zurückliefern wird. Zwar würde im Fall dass $key ein Array ist nachher "Array" drin stehen, aber diesen Key wird bestimmt keiner als user_activation_key haben.

Oder wir machen aus:

if ( empty( $key ))
return new WP_Error('invalid_key', __('Invalid key'));
if ( empty( $key ) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));

welches die Fehlermeldung ausgeben wird wenn $key fälschlicherweise ein Array ist.

Der Bug ist echt nicht auf den ersten Blick zu sehen, daher auch keine Schande über die Wordpress Programmierer. Mein Rat an dieser Stelle, lieber ein paar mal mehr casten als zu wenig.

]]> http://juliusbeckmann.de/blog/wordpress-remote-admin-reset-password-exploit-wie-es-dazu-kommen-konnte.html/feed 0 Wordpress: Sonderzeichen ersetzten deaktivieren http://juliusbeckmann.de/blog/wordpress-sonderzeichen-ersetzten-deaktivieren.html http://juliusbeckmann.de/blog/wordpress-sonderzeichen-ersetzten-deaktivieren.html#comments Mon, 30 Jun 2008 08:10:02 +0000 Julius http://juliusbeckmann.de/blog/?p=34 Wer so wie ich öfters Konfigurationsdateien postet wird es vielleicht auch schon gemerkt haben dass Wordpress normale Anführungszeichen in Anführungszeichen links und rechts sowie doppelte Striche in einen langen ersetzt und so simples Copy/Paste bei Konfigurationsblöcken und Scripten zu nichte macht.
Wie man das ausstellen kann geht so....

Meine Version ist aktuell die 2.5.1, bei älteren Versionen müssten die Formatierungsfunktionen im Functions Ordner von Wordpress sein und die Datei auch ein 'formatting' im Namen haben.

Das ganze formatieren vom 2.5er Wordpress geschieht in der Datei:
/wp-includes/formatting.php
Dort finden sich die Zeilen für statische

$static_characters = array_merge( array('---', ' -- ', '--', 'xn–','...', '``', '\'s', '\'\'', ' (tm)'), $cockney);
$static_replacements = array_merge(array('—', ' — ', '–', 'xn--', '…', '“', '’s', '”', ' ™'), $cockneyreplace);

und für dynamische Ersetzungen:

$dynamic_characters = array('/\'(\d\d(?:’|\')?s)/', '/(\s|\A|")\'/', '/(\d+)"/', '/(\d+)\'/', '/(\S)\'([^\'\s])/', '/(\s|\A)"(?!\s)/', '/"(\s|\S|\Z)/', '/\'([\s.]|\Z)/', '/(\d+)x(\d+)/');
$dynamic_replacements = array('’$1','$1‘', '$1″', '$1′', '$1’$2', '$1“$2', '”$1', '’$1', '$1×$2');

Wer möchte kann hier gewünschte Änderungen direkt im Array vornehmen oder ein paar Zeilen weiter das Ersetzten komplett unterbinden.

Dazu machen wir aus

// static strings
$curl = str_replace($static_characters, $static_replacements, $curl);
// regular expressions
$curl = preg_replace($dynamic_characters, $dynamic_replacements, $curl);

folgendes

// static strings
//$curl = str_replace($static_characters, $static_replacements, $curl);
// regular expressions
//$curl = preg_replace($dynamic_characters, $dynamic_replacements, $curl);

Wer gerne seine gewünschten HTML Sonderzeichen nachschlagen möchte, dem sei die SelfHTML Zeichenreferenz ans Herz gelegt:
http://de.selfhtml.org/html/referenz/zeichen.htm

]]> http://juliusbeckmann.de/blog/wordpress-sonderzeichen-ersetzten-deaktivieren.html/feed 1