Estoy auditando una aplicación web y tratando de explotar XSS en el atributo de valor de un campo de entrada. Mientras estaba fuzzing, descubrí que la aplicación estaba filtrando < y > , así que cambié mi carga útil, pero la aplicación está convirtiendo " en " . Sin completar el valor del atributo con la cotización, la carga útil no funcionará.
El punto de inserción está marcado con USER INPUT a continuación:
<input name="xyz" value="USER INPUT" type="text">
¿Cómo puedo explotar esto?