Mi sono imbattuto in un campo che è vulnerabile a XSS. Accetta e contrassegna tuttavia le parole chiave script, alert, msgbox, prompt sono bloccati. Ho provato ogni versione codificata di queste parole chiave ma non funziona.
C'è un modo in cui posso mostrare un POC (popup XSS) senza usare le parole chiave sopra.
Ho iniettato un frame con successo e anche i cookie non sono solo HTTP.