Auteur : benjilenoob
WebSite : http://benji.redkod.org/ and http://www.redkod.org/
Audit in pdf : http://benji.redkod.org/audits/ipb.2.1.pdf

Produit : Invision power board
Version : 2.1
Types de failles : Xss permanentes et non permanentes.
Risque : Faible.

I- failles XSS non critique:
----------------------------

1. si l'on se log dans la partie admin avec un code javascript dans la variable $adresse si le login est correct alors
   notre code javascript s'execute.
   http://localhost/2p1p0b3/upload/admin.php?adsess=[xss]&act=login&code=login-complete
   Il est possible de voler un cookie grace a cette faille.

2. Dans la partie admin on peut laisser des notes dans le textarea "ACP Notes", si dedans on insert:
   </textarea>'"/><script>alert(document.cookie)</script> alors s'a s'execute.

3. Toujours dans la partie administration, on peut editer le profil d'un membre et bien les inputs:
   "Member's Log In User Name", "Member's Display Name", "Email Address contains...", "IP Address contains...",
   "AIM name contains...", "ICQ Number contains...", "Yahoo! Identity contains...", "Signature contains...",
   "Less than n posts", "Registered Between (MM-DD-YYYY)", "Last Post Between (MM-DD-YYYY)",
   "Last Active Between (MM-DD-YYYY)" sont tous faillible a une xss.

4. On a une xss non permanente:
   http://localhost/2p1p0b3/upload/admin.php?adsess=[id]&section=content&act=forum&code=new&name=[xss]

5. On a une xss non permanente apres nous etre loggé en admin ici:
   http://localhost/2p1p0b3/upload/admin.php?name=[xss]&description=[xss]

6. Il y a une xss permanente dans la partie "Components" de l'administration, en effet si l'on fait un nouveau component
   et que l'on lui donne comme description </textarea>'"/><script>alert()</script> alors notre xss s'execute :)

7. Toujours dans la partie administration si l'on cré un nouveau membre alors les inputs "Member Name", "Password",
   "Email Address" sont faillibles a une xss.

8. Encore dans la partie administration si l'on cré un nouveau groupe alors le textarea "Group Icon Image" est
   faillible a une xss.

9. Encore et toujours dans la partie administration il ya a une xss lorsque l'on veut créer un nouveau calendrier,
   en effet l'input "Calendar: Title" va permettre d'executer une xss sur d'autres pages.

Niveau de risque sur un echelle de 1 à 10 : 2.

Benji
Team RedKod
http://www.redkod.org/