Per i principianti, il tag di input HTML in questo caso è impostato per limitare l'input a 15 caratteri, quindi il tuo standard <script>alert(1);</script> non si adatta. Questo può probabilmente essere aggirato usando un proxy di attacco come OWASP ZAP o Burbsuite, che ti permetterà di inviare risposte che normalmente non sarebbero accettate.
Non c'è modo di dire quali filtri lato server sono in atto semplicemente guardando il codice HTML. L'HTML è lato client e la sicurezza lato client può quasi sempre essere aggirata. (Molto simile al limite di caratteri descritto sopra.) È probabile che ci siano più livelli di filtraggio che si verificano nel server dopo aver inviato il modulo.
Ci sono due passaggi che dovresti provare. Innanzitutto, piuttosto che iniziare con un intero script di payload, prova a inserire caratteri e combinazioni di caratteri specifici, come < e & gt ;. Guarda quali personaggi vengono filtrati e quali sono codificati o non filtrati. Quindi prova a creare una stringa di attacco che ignorerà il filtro o è la forma decodificata di ciò che effettivamente desideri.
L'altra cosa che dovresti fare è eseguire un fuzzer sull'applicazione. Questo tenterà un numero molto grande di stringhe di attacco diverse, per cercare di trovare quello che ottiene dal filtro.