http://XXX/?subscribe_message=%3Cscript%3Ealert(/zzz/);%3C/script%3E
Perché non compare questo popup con un / zzz / alert? Quando faccio javascript:alert(/zzz/); nella barra degli indirizzi lo fa perché non quando lo faccio tramite l'URL? Uno sguardo al codice sorgente mi fa pensare / dovrebbe / lavorare ...
Alcuni browser come Chrome hanno funzionalità anti-XSS che bloccano attacchi evidenti. Se apri la console JavaScript del tuo browser, dovresti visualizzare gli avvisi.
Disattiva temporaneamente la protezione o utilizza un altro browser.
Ogni volta che ho bisogno di testare un sito Web specifico per verificare le vulnerabilità di xss, utilizzo questo plugin per Firefox: link
Ti dà una bella prima impressione delle possibili vulnerabilità esistenti. In particolare, è consigliabile studiare su JS e XSS. Non andare per un approccio scriptkiddie:)
Leggi altre domande sui tag xss