20.02.2011:
“WordPress Plugin — jQuery Drop Down Mega Menu Widget” (designchemical.com)

25.02.2011:
“jQuery Plugin – Mega Drop Down Menu” (designchemical.com)

25.02.2011:
“jQuery Mega Menu 1.0 WordPress Plugin Local File Inclusion” (exploit-db.com)


In der Beschreibung des Exploits steht zwar “Local File Inclusion” aber es handelt sich in diesem Fall eher um Directory Traversal (de.wikipedia.org), da die Datei nicht ausgeführt, sondern “nur” angezeigt wird.

Unter Directory Traversal versteht man eine Sicherheitslücke in Web-Programmen wie z. B. einem Webserver oder einer Webanwendung, bei der durch Manipulation von Pfadangaben auf beliebige Dateien und Verzeichnisse zugegriffen werden kann, die dafür eigentlich nicht vorgesehen waren. Diese kann so ausgenutzt werden, dass sensible Daten wie Passwörter preisgegeben werden.

Der Klassiker unter den Beispielen für Directory Traversal ist /etc/passwd. In der versteckten .htaccess finden wir einen Hinweis wo die php.ini zu finden ist, usw. usw. Kennt man sich etwas mit dem System aus welches man angreift, so kann man in kürzester Zeit an die sicherheitskritischen Informationen gelangen.


Das eigentliche Problem des Plugins steckt in der skin.php:

header("Content-type: text/css");
 
$id = $_GET['widget_id'];
$skin = $_GET['skin'];
 
if(!empty($skin)){	
   $css = file_get_contents('./skins/' . $skin );
   $widget_skin = preg_replace('/%ID%/',$id, $css);
   echo $widget_skin;
}

Der Inhalt aus $skin wird ungefiltert übernommen.


Seit ein paar Minuten gibt es eine neue Version, in der die Lücke behoben ist. Dieser Entwickler hat schnell reagiert, evtl. aufgrund meines Hinweises.

Aber grundsätzlich wird deutlich, dass man sich sehr schnell Schwachstellen in sein System bauen kann, weil es einfach zu viele nicht vertrauenswürdige Quellen für Software gibt. Open Source hilft hier schnell die Lücke zu finden, aber es ist kein Garant dafür dass sich überhaupt jemand die Mühe macht in fremden Code nach Sicherheitslücken zu schauen.

Vor ca. einem Monat bin ich auf einen wirklich sehr guten Spamschutz in Form eines Plugin für WordPress gestoßen:
“Aus der Mindfactory: Slide2Comment – anti spam the sexy way” (mindworker.de)

Ist dieses Plugin installiert so muss der Besucher, der einen Kommentar hinterlassen möchte, kein Captcha oder eine Rechenaufgabe lösen, oder der sonst üblichen Methoden Spammer abzuwehren — er braucht nur einen Button anklicken und mit gedrückter Maustaste von links nach rechts schieben. Erst durch diese Aktion werden die Formularfelder der Kommentarfunktion sichtbar. Wer ein iPhone besitzt kennt diese Art der Aktivierung.

Damals gab es noch einen kleinen Bug, weshalb ich das Plugin nicht sofort hier eingebaut habe. Mittlerweile ist der Bug behoben und es ist auch noch die Funktion hinzugekommen den Button mit dem Mauszeiger ohne Klick zu bewegen. In dem Adminpanel, welches auch dazugekommen ist, gibt es neben dem ein- und ausschalten des Klicks, auch die Möglichkeit die CSS-Datei direkt im Backend zu editieren, damit der Slider den eigenen Wünschen angepasst werden kann.

Natürlich konnte ich es nicht lassen im Plugin selber etwas rumzupfuschen. ;O)

Der mitgelieferte quietschgrüne Slider war mein erstes Opfer, wobei ich auch die Hintergrundfarbe angepasst habe. Im PHP-Code ersetzte ich message: "Slide 2 Comment" durch message: "← schieben und kommentieren". Die jquery.min.js muss ich auch nicht zwingend von Google laden, da ich noch 56 kByte Webspace übrig hatte und Google nicht immer benachrichtigen möchte wenn ein Besucher auf meinem Blog ist.

Aus

ist nun

geworden.

Das Plugin kann direkt aus dem “Plugin Directory” von WordPress.org geladen werden. Bisher wurde “Slide2Comment” (wordpress.org) mehr als 600 Mal runtergeladen. Glückwunsch an den Plugin-Autoren Long Hoang und besten Dank für dieses tolle Plugin, von mir und allen Captcha-Hassern dieser Welt. :O)


Update: 10:56 Uhr

Plugin erstmal wieder deaktiviert und die alte Methode aktiviert, da der Erich (erich-kachel.de) gleich eine Lücke für Spammer gefunden hat. :O)

Da werde ich nun selber im Quellcode schauen müssen wie ich Spammer abhalten kann, denn nach wie vor hasse ich Captcha & Co.