Sto ottenendo una riflessione multipla del mio input su una pagina di siti web, una delle riflessioni del mio input è contenuta nel tag <script>
. Il tag script che ho appena menzionato ha src
che si riferisce ad un altro dominio, chiamato, visualwebsiteoptimizer.com che quindi fa riferimento al dominio su cui sto testando il mio xss, usando il metodo URL: redirect.
<script src="https://dev.visualwebsiteoptimizer.com/deploy/js_visitor_settings.php?v=1&a=25349&;url=https://www.targetdomain.com/en-us/search-results.aspx/search=helloworld
Se inserisco una normale query di testo l'output è (variando sulla query trovata o non trovata), non appena inserisco il mio payload che è '-alert(1)-'
il sito web mi dà 403 accesso negato. Gli input di testo normale sono ok e rendono la pagina, ma l'inserimento di qualsiasi payload mi dà solo un 403.
Qualcuno può dirmi cosa sta succedendo? Sto ricevendo un XSS ma non sta spuntando a causa di qualche WAF?