منتشرشده در encoding، javascript، reflected-xss، url، فیلتر شکن

مشتری در حال ایجاد یک وب سایت است که از طریق یک پارامتر GET در معرض XSS منعکس شده باشد: 

 https://example.com/vulnerable-url؟ ") || true) هشدار (" XSS ") ؛ [19659003] من می خواهم با ارائه پیوندی مانند موارد بالا ، این آسیب پذیری را نشان دهم ، اما متن حاوی کاراکترهایی است (مانند  ") که توسط یک مرورگر رمزگذاری می شوند ، که منجر به یک اسکریپت نامعتبر و غیر قابل اجرا می شود. 
 همچنین دریافتم که استفاده از یک فرم در HTML برای انجام یک درخواست GET منجر به رمزگذاری URL رشته بار می شود. 



 با این وجود می توانم از پروکسی BurpSuite برای تهیه درخواست بدون رمزگذاری URL استفاده کنم ، و نتیجه آن اجرای اسکریپت باشد. 



 من می خواهم اسکریپت را تنها با استفاده از یک مرورگر موجود در محیط مشتری نشان دهم. آیا ایده هایی در مورد چگونگی دستیابی به این امر وجود دارد؟

</p> <pre>javascript - نشان دادن XSS منعکس شده با پارامتر GET و رمزگذاری URL<br />

تگ ها: