MiguelBel · August 11, 2014 22:25
diff --git a/gasnaturalfenosa.es b/gasnaturalfenosa.es
 Remitir con relativa celeridad al departamento de desarrollo/informática.

 Hola, he encontrado una vulnerabilidad en su página web (http://www.gasnaturalfenosa.es/) que permite ejecutar código javascript.

 ---

 Web: http://www.gasnaturalfenosa.es/

 Vulnerabilidad: Reflected XSS

 PoC (Proof of concept) - Prueba de concepto: www.gasnaturalfenosa.es/es/hogar/1297102544875/preguntas+frecuentes.html?siteToFilter=esp_hogar&campoBuscador="><%2Fscript><script>alert('xss')%3B<%2Fscript>+<script>+var+a+%3D+"&x=13&y=13


 Attack Vector - Vector de ataque: </script><script>alert('hi');</script> <script> var a = "

 Descripción: Permite la ejecución de código javascript por parte del usuario que suele ser empleado para el robo de credenciales. Puede llegar a ser muy grave si se emplea con fines maliciosos.

 Solución: Escapar correctamente los caracteres especiales '';!--"<XSS>=&{()}

 Un saludo, espero su respuesta.
	Remitir con relativa celeridad al departamento de desarrollo/informática.

	Hola, he encontrado una vulnerabilidad en su página web (http://www.gasnaturalfenosa.es/) que permite ejecutar código javascript.

	---

	Web: http://www.gasnaturalfenosa.es/

	Vulnerabilidad: Reflected XSS

	PoC (Proof of concept) - Prueba de concepto: www.gasnaturalfenosa.es/es/hogar/1297102544875/preguntas+frecuentes.html?siteToFilter=esp_hogar&campoBuscador="><%2Fscript><script>alert('xss')%3B<%2Fscript>+<script>+var+a+%3D+"&x=13&y=13


	Attack Vector - Vector de ataque: </script><script>alert('hi');</script> <script> var a = "

	Descripción: Permite la ejecución de código javascript por parte del usuario que suele ser empleado para el robo de credenciales. Puede llegar a ser muy grave si se emplea con fines maliciosos.

	Solución: Escapar correctamente los caracteres especiales '';!--"<XSS>=&{()}

	Un saludo, espero su respuesta.