Come usare la codifica Unicode per eludere il filtro XSS?

Recentemente, mi sono imbattuto in un XSS segnalato in cui l'autore dell'attacco è Unicode che codifica il payload nei parametri GET HTTP per eludere il filtro XSS esistente -

Lamiadomandaè-quandoilserver/l'applicazioneconvertel'Unicodeintestonormale?StaleggendoivalorideiparametriGET?Sesì,alloraperchéilfiltrononèingradodirilevarlo?

L'attaccononfunziona,quandolostessocaricoutileèfornitointestosemplice.L'appèdistribuitasuIIS7.

Qualsiasistrategiadimitigazioneperquestotipoditecnicadievasionesaràancheappagata.

UPDATE:il link limita l'uso di caratteri unicode come URL. quali sono le probabilità che IIS 7 accetti ancora i caratteri Unicode come parte dei valori GET dell'URL. Ho alcune applicazioni web php vulnerabili per i test (DVWA, implementate nel server WAMP) che sono facilmente vulnerabili a vettori di attacco XSS molto semplici come <script>alert(1)</script> . Ho provato a sostituire pochi caratteri con il loro equivalente Unicode ma quella stringa non invoca XSS !!!