Anteriormente se publicó sobre un Cross-site scritpting que afectaba al sitio de PCFactory --> Enlace
El dia de ayer encontre el siguiente XSS que se obtiene via método POST.
En la seccion de 'Boletas electrónicas' , vemos que podemos llenar 3 campos:
Rellenamos con cualquier dato , y capturamos las cabeceras:
·# Variables Afectadas son: 'txtMontoTotal=' ; 'txtFechaEmision=' ; 'txtFolio='
Prueba de Concepto:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Lo mismo ocurre en el sector para consultar por Ordenes de servicio:
Capturamos las cabeceras y repetimos con los campos modificados:
Mismo resultado y obtenemos el Alert:
Saludos, @shinee_
No hay comentarios:
Publicar un comentario