Hola, gracias por no mostrar la url de otros sitios como siempre se ha dicho y se ha escrito, talves me haga falta hacer un video
Bueno, de todas formas nadie es perfecto y todos cometemos errores.
Acá dejo la captura de pantalla para que los demás puedan saber de que se trata:
Lo que sucede es que este sitio web diseñado en .net con servidor microsoft windows server y si tiene un filtro pero no es firewall es del servidor WEB y funciona para detener en parte ataques básicos como este.
Aparece de forma detallada el error porque el diseñador del sistema web dejó habilitada la opción debugger cosa que jamás se debe hacer con una web publicada, igual que en php cuando lo publicas siempre debe llevar error_reporting a cero para evitar disclosures y escape de información que puedan servir a un atacante.
El diseñador de ese sitio web lo que tubo que haber hecho es dejar el modo debugger en off y prevenir instancias como estas y ejecutar acciones paralelas que avisen a la administración.
Me explico....
decir que si hay error que no muestre nada pero que en cambio le mande un mensaje al administrador con el mensaje de alerta, linea, peticion, ip, etc.
Si escribes
http://www.zzxxxxxx.com/musica-de/'lol/y luego ves el codigo fuente podrás observar que todos sus tags están escritos con variables en comillas simples asi que facilmente puedes inyectar un onload y ejecutar xss y adios filtro básico de microsoft.
Autor
En línea
- 
