Non riesco a esaminare il problema, dato che hai fornito un falso URL per testare XSS. Ecco un vero URL che dimostra una vulnerabilità XSS:
Utilizzando la prima attività questo è un URL che presenta una vulnerabilità XSS:
Usando le richieste della libreria python, possiamo richiedere questa pagina:
>>> import requests
>>> xss_url = http://www.insecurelabs.org/Task/Rule1?query=%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
>>> r_xss = requests.get(xss_url)
>>> print r_xss.text
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title></title>
<link href="/Content/Task.css" rel="stylesheet" type="text/css" />
<script src="/Scripts/jquery-1.5.1.min.js" type="text/javascript"></script>
<script src="../../Scripts/Task.js"></script>
</head>
<body>
<div class="page">
<section id="main">
<a href="/Task" class="back">Back to task list</a>
<h1>Task 1 - between tags</h1>
<form method="get" action="">
Search: <input type="text" name="query" value="<script>alert('XSS')</script>"/><input type="submit" value="Search" />
</form>
<br /><br />
<div>
Searched for <script>alert('XSS')</script> <br />
Found nothing.
</div>
...
Come puoi vedere sopra dove ho troncato il resto del contenuto HTML, c'è il testo Searched for <script>alert('XSS')</script>
, che è la vulnerabilità XSS in quanto è un <script>
completamente formato. Nota come requests
fa semplicemente la richiesta HTTP (che richiede solo l'origine della pagina HTML dal server web senza tentare di elaborarlo o renderizzarlo) e non esegue alcun javascript, non vedrai alcun popup di avviso che mostri ' XSS'.
Se fai altre richieste innocue, il contenuto cambierà. Non riesco a guardare nel tuo esempio, dato che non hai dato un vero URL. La mia ipotesi è che stai facendo qualcosa di sbagliato: questi URL esatti rendono una sorgente diversa in un browser web?