Esiste un numero qualsiasi di motivi che vanno da "Questo sito Web non è vulnerabile a XSS" fino a "È necessario eseguire il massaggio della stringa XSS".
Ottenere il funzionamento dei popup XSS è un po 'un'arte. La vista Elemento di Ispezione non è il modo migliore per visualizzarla perché mostra il modo in cui il browser ha analizzato l'HTML, ma l'intero punto di XSS è ingannare il parser HTML.
Invece, visualizza il sorgente della pagina e ctrl + f per la stringa alert("XSS")
. Innanzitutto, come suggerisce @Sjoerd, controlla se la tua stringa viene sottoposta a escape (cioè vedi <script>
o <script>
?). Se sei stato scappato correttamente, non sarai in grado di fare XSS. Se non viene scappato, probabilmente c'è XSS. Per farlo funzionare, devi controllare dove il tuo testo viene inserito all'interno della fonte e chiudere qualsiasi stringa e tag in modo che il tuo tag <script>
non sia sepolto all'interno di qualcos'altro. Ecco perché spesso i payload XSS iniziano con un preventivo e un tag di chiusura, come "</a><script>...
. Questa parte richiede alcuni tentativi ed errori. Buona fortuna!