Du XSS chez Pixabay

Présentation du site

Pixabay est une ressource incroyable en photos, illustrations et vidéos en tous genres... La plupart du temps sous licence Domaine public.

Classé 1,565 ème site web dans le monde et 903 en Inde, c'est une grosse plateforme. Elle a été crée en 2010 en Allemagne par Hans Braxmeier (à gauche sur l'image) et Simon Steinberger (à droite sur l'image). Aujourd'hui, c'est près de 350.000 photographies qui y sont stockées.

La faille

Un problème assez classique, la sécurisation des données saisies par l'utilisateur...

Ici, c'était un des paramètres de l'URL utilisé pour filter les résultats.

La recherche

J'ai commencé par tester toutes les entrées du site. En commençant par le champ contenant le mot clé pour effectuer une recherche. Sans succès. J'ai ensuite essayé toutes les autres portes d'entrée une par une.

Jusqu'au moment où je me rend compte qu'un des paramètre prenait directement ma saisie dans l'URL pour la ré-injecter dans le code source de la page ! Bingo :-)

https://pixabay.com/fr/photos/?q=test&image_type=&cat=&order=<script>alert('xss')</script>

Le paramètre ORDER. Cependant, il le ré-injecter au milieu d'un tag HTML rendant l'exécution du code impossible.

<td class="hover_links"><a href="/web/20150311032801/http://pixabay.com/en/photos/?q=test&amp;image_type=&amp;layout=flex&amp;order=<script>alert('xss')</script>"><i class="icon icon_flex_grid">

Il suffisait juste d'ajouter des guiellemets pour fermer la précédente balise et le tour était joué :-)

https://pixabay.com/fr/photos/?q=test&image_type=&cat=&order="><script>alert('xss')</script>

L'échange avec le CEO du site

Très bon et surtout très réactif ! Je lui écrit à 19h31 et à 19h47 je reçois un mail pour me remercier et me dire qu'un correctif va être mis en place dans la nuit :-)

Hi L.F.Consult,

Thanks for the heads-up. We'll fix this tonight.

Best

Simon

____________

Pixabay Team

Simon Steinberger

simon@pixabay.com

J'adore :) C'est ça le web, des échanges, des remerciements , du fun :) J'ai bien évidement demandé à Simon si je pouvais publié un article à ce propos et la réponse est juste parfaite :)

Hi L.F.Consult,

Of course you can. Thanks again for pointing out the vulnerability.

Best

Simon

Merci Pixabay pour votre magnifique travail et contiunez ainsi !

Source