<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[9771] sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php: Add an MU plugin which returns a `400 Bad Request` when a HTTP request is invalid and will produce PHP warnings.</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { white-space: pre-line; overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta" style="font-size: 105%">
<dt style="float: left; width: 6em; font-weight: bold">Revision</dt> <dd><a style="font-weight: bold" href="http://meta.trac.wordpress.org/changeset/9771">9771</a><script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","description":"Review this Commit","action":{"@type":"ViewAction","url":"http://meta.trac.wordpress.org/changeset/9771","name":"Review Commit"}}</script></dd>
<dt style="float: left; width: 6em; font-weight: bold">Author</dt> <dd>dd32</dd>
<dt style="float: left; width: 6em; font-weight: bold">Date</dt> <dd>2020-04-23 06:07:35 +0000 (Thu, 23 Apr 2020)</dd>
</dl>

<pre style='padding-left: 1em; margin: 2em 0; border-left: 2px solid #ccc; line-height: 1.25; font-size: 105%; font-family: sans-serif'>Add an MU plugin which returns a `400 Bad Request` when a HTTP request is invalid and will produce PHP warnings.

Regular clients should never trigger these checks, it should be almost exclusively vulnerability scaners and bots, but any blocked request is logged for review.</pre>

<h3>Added Paths</h3>
<ul>
<li><a href="#sitestrunkwordpressorgpublic_htmlwpcontentmupluginspubwporgbadrequestphp">sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="sitestrunkwordpressorgpublic_htmlwpcontentmupluginspubwporgbadrequestphp"></a>
<div class="addfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Added: sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php                             (rev 0)
+++ sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php       2020-04-23 06:07:35 UTC (rev 9771)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -0,0 +1,84 @@
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+<?php
+/**
+ * Plugin Name: WordPress.org 400 Bad Request
+ * Description: Throw a 400 Bad Request for bad requests. This shouldn't be needed, but vulnerability scanners exist and it makes a mess of logs.
+ * Version:     1.0
+ * Author:      WordPress.org
+ * Author URI:  https://wordpress.org/
+ * License:     GPLv2 or later
+ *
+ * @package WordPressdotorg\BadRequest
+ */
+
+namespace WordPressdotorg\BadRequest;
+
+/**
+ * Detect invalid form field values in login requests.
+ */
+add_action( 'login_init', function() {
+       $expected_string_fields = [
+               'log', 'pwd', 'redirect_to', 'rememberme',
+               '_wp_http_referer', '_wpnonce',
+               'locale' // WordPress.org login localisation.
+       ];
+
+       foreach ( $expected_string_fields as $field ) {
+               if ( isset( $_REQUEST[ $field ] ) && ! is_scalar( $_REQUEST[ $field ] ) ) {
+                       die_bad_request( "non-scalar $field in login \$_REQUEST" );
+               }
+       }
+} );
+
+/**
+ * Detect invalid query parameters being passed in Core query fields.
+ * Generally causes WP_Query to throw a PHP Warning.
+ */
+add_action( 'send_headers', function( $wp ) {
+       // Assumption: WP::$public_query_vars will only ever contain non-array query vars.
+       foreach ( (new \WP)->public_query_vars as $field ) {
+               if ( isset( $wp->query_vars[ $field ] ) && ! is_scalar( $wp->query_vars[ $field ] ) ) {
+                       die_bad_request( "non-scalar $field in \$public_query_vars" );
+               }
+       }
+} );
+
+/**
+ * Detect invalid parameters being passed to REST API Endpoints.
+ * Not all API endpoints sanitization callbacks check variable types.
+ */
+add_action( 'rest_api_init', function( $wp_rest_server ) {
+       global $wp;
+
+       // oEmbed endpoint has some not-so-great sanitize callbacks specified
+       if ( '/oembed/1.0/embed' === $wp->query_vars['rest_route'] ) {
+               foreach ( [ 'url', 'maxwidth' ] as $field ) {
+                       if ( isset( $_REQUEST[ $field ] ) && ! is_scalar( $_REQUEST[ $field ] ) ) {
+                               die_bad_request( "non-scalar $field in oEmbed call" );
+                       }
+               }
+       }
+
+} );
+
+/**
+ * Die with a 400 Bad Request.
+ * 
+ * @param string $reference A unique identifying string to make it easier to read logs.
+ */
+function die_bad_request( $reference = '') {
+       header( $_SERVER['SERVER_PROTOCOL'] . ' 400 Bad Request' );
+
+       // Use a prettier error page on WordPress.org
+       if ( defined( 'WPORGPATH' ) && file_exists( WPORGPATH . '/403.php' ) ) {
+               $header_set_for_403 = true;
+               include WPORGPATH . '/403.php';
+
+               // Log it if possible.
+               if ( function_exists( 'wporg_error_reporter' ) ) {
+                       wporg_error_reporter( E_USER_NOTICE, "400 Bad Request: $reference", __FILE__, __LINE__ );
+               }
+               exit;
+       }
+
+       \wp_die( 'Bad Request', 'Bad Request', [ 'code' => 400 ] );
+}
</ins><span class="cx" style="display: block; padding: 0 10px">Property changes on: sites/trunk/wordpress.org/public_html/wp-content/mu-plugins/pub/wporg-bad-request.php
</span><span class="cx" style="display: block; padding: 0 10px">___________________________________________________________________
</span></span></pre></div>
<a id="svneolstyle"></a>
<div class="addfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Added: svn:eol-style</h4></div>
<ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+native
</ins><span class="cx" style="display: block; padding: 0 10px">\ No newline at end of property
</span></div>

</body>
</html>