La mia domanda è triplice.
Sfondo
Mi è stato chiesto di eseguire alcune scansioni di vulnerabilità su un sito Web con alcuni buchi (credo). In una pagina particolare, sono riuscito a scappare dal campo di testo e scrivere sul sito. Se ho lasciato il sito, il testo che ho inserito a sinistra.
Domande
1) Come posso raccomandare che un campo di testo sia protetto (per quanto riguarda la convalida dell'input prima di essere accettato dal parser html (che ho appreso corre prima degli altri parser))?
2) Il fatto che il testo sia non persistente è rilevante? Posso ancora inserire un tag script e sembra funzionare.
3) Questo, non so se posso davvero aspettarmi di ricevere una risposta; ma, mi manca l'immaginazione per quello che posso fare con questo "buco". Se posso eseguire uno script, dovrei essere in grado di fare qualcosa, ma non credo di conoscere abbastanza script java per quello. Cosa si può fare (non cercare codice ... necessariamente ...) con questo?