Ho trovato che i personaggi; < e > vengono filtrati (visualizzati come: < e > ), quando eseguo il test della penna per un sito Web.
Esistono metodi per aggirare < e > ?
< e > sono i modi corretti per visualizzare i caratteri < e > in un contesto HTML.
(Ci sono luoghi in cui solo l'escape <>&" non è abbastanza -per esempio valori di attributo non quotati, o JavaScript annidato dentro HTML. Hai questo?)
Solitamente si usa il termine "bypass" quando si sa / sospetto che sia una vulnerabilità, ma qualcos'altro sta ostacolando lo sfruttamento. Ad esempio, quando un'applicazione non riesce a uscire correttamente da < a < ma ha un filtro di input zoppo che non si interrompe digitando <script ; ci sono vari modi possibili per aggirare questo tipo di misura a seconda di come è strutturato il codice.
Ma da quello che hai detto non ci sono prove che ci sia alcuna vulnerabilità presente. La visualizzazione di < dall'input dell'utente come < è esattamente ciò che ti aspetteresti da un'applicazione di generazione di codice HTML correttamente scritta.
Leggi altre domande sui tag xss