Sto testando un'applicazione web in cui il server accetta caratteri speciali come @#$* , ma quando inserisco virgolette doppie / singole, il codice HTML del server lo codifica.
("test">%3Cscript%3Ealert('XSS')%3C%2Fscript%3E")
è l'output dal server.
Come posso ignorare questa codifica HTML?
Se vuoi sfruttare XSS, devi essere in grado di inserire HTML nella pagina. Se i caratteri < e > sono sfuggiti, non è possibile iniettare un tag. Se i caratteri " e ' vengono estratti, non è possibile iniettare un attributo. Quindi sembra che la pagina che stai testando sia al sicuro da XSS.