Reflected XSS solo funciona a través de Burp Repeater debido a la codificación de URL

Hay dos cosas potencialmente en juego aquí:

1) codificación de URL : la mayoría de los navegadores codifican cualquier carácter especial en la URL antes de que se transmita. Internet Explorer no codifica los caracteres de la URL en la cadena de consulta. Sin embargo, en su ejemplo, la carga útil está en la ruta. Por lo que sé, todos los navegadores modernos tendrán una codificación de URL, por lo que no es explotable.

2) Filtro XSS del navegador : la mayoría de los navegadores modernos (pero no Firefox) tienen filtros XSS que intentan bloquear el XSS reflejado. Los filtros no son impermeables, y muchos probadores de lápiz los desactivan durante la prueba. Le recomiendo que primero reproduzca XSS con el filtro del navegador deshabilitado, antes de intentar usar un filtro de omisión.

Encontré un escenario similar hoy. Tras la depuración, descubrí que la página web vulnerable reflejaba la ruta URL exacta en la página web, lo que la hacía vulnerable a los XSS reflejados. Los navegadores web modernos codifican la ruta URL cada vez y la variable GET se descodifica en el servidor. Pero en este caso, el script del lado del servidor no refleja ninguna variable GET específica sino toda la ruta de la URL. Por ejemplo, lo siguiente debería ser un código PHP vulnerable en ese caso.

<?php echo $_SERVER['REQUEST_URI']; ?>

Aquí a la variable $_SERVER no le importa si la entrada que está obteniendo es una URL decodificada o codificada, solo se reflejará como está. Entonces, como los navegadores modernos codifican la URL de forma predeterminada, será casi imposible explotarla. Si encuentra este XSS mientras realiza pruebas de penetración para su cliente, debe mencionarlo en el informe pero con una puntuación CVSS baja.

AFAIK, este XSS no tiene nada que ver con el filtro XSS como fue respondido anteriormente por PortSwigger.