Ho trovato un sito web che riflette gli input dell'utente. Ma il problema è quando iniettare questo carico utile <svg/onload=alert(1)>
ottengo un errore.
Ma quando uso questo payload <%20svg/onload=alert(1)>
, il mio input si riflette sullo schermo ma non riesco a far apparire l'avviso. E questo documento dice che non dovrebbe esserci spazio bianco tra <
e il tag nome.
Quindi non posso utilizzare alcun payload che inizi con <
e il nome del tag per ex. <script
, <svg
, <img
Quindi, c'è qualche trucco?
Payload provati:
<%20svg/onload=alert(1)>
<%00svg/onload=alert(1)>
<%09svg/onload=alert(1)>
Ma il risultato è lo stesso, il mio input si riflette senza alcun problema, ma non viene visualizzato alcun avviso.
Quindi, il risultato è "Non può bypassare"? Cosa mi manca qui?