Así que he estado haciendo un ejercicio de equipo rojo y una aplicación interna devuelve Cannot find /whatever/your/path . Dado que este no es un PHP o un servidor web con todas las funciones, no hay descodificación automática mágica, por lo que si envía /%00%0d%25/stuff obtendrá Cannot find /%00%0d%25/stuff
El problema es que cada navegador en el historial reciente codifica automáticamente < o > o es lo suficientemente inteligente como para no representar la página que no es HTML (ya que no hay etiquetas HTML, interpreta la cadena en un contexto interpretable) como HTML. He probado todos los navegadores que tenemos actualmente en funcionamiento y ni uno solo ha generado una condición XSS porque codificaron correctamente la URL y los parámetros o escaparon del documento no HTML para que pueda representarse como texto aparentemente simple.
¿Tengo razón al suponer que, a menos que se combine con otra vulnerabilidad mucho más importante, esto no se puede explotar a menos que esté ejecutando Netscape 1.0 o algún otro navegador igualmente deficiente (y no aprobado)?