Al probar un sitio web que tiene una política de divulgación responsable, descubrí que puedo insertar un código y cerrar el atributo e insertar un texto propio:
<input type="text" value=""xsstext>
Ahora estoy seguro de que puedo enviarles un correo electrónico para mostrarles que puedo insertar <!--
y comentar el resto de la página, pero no creo que se lo tomen demasiado en serio. Por lo que probé, arrojará un error 403 al usar:
"javascript:
"onload= (and onmouseover, onfocus etc.)
"onload:
"<script >
"<svg >
"<iframe>
"expression(
Es posible insertar por ejemplo:
<b>batman</b>
<img>
<div>
Soy bastante nuevo en XSS. ¿Hay alguna manera de que pueda ejecutar algún script o hacer algo más útil aquí?