Estoy auditando una aplicación web y tratando de explotar XSS en el atributo de valor de un campo de entrada. Mientras estaba fuzzing, descubrí que la aplicación estaba filtrando <
y >
, así que cambié mi carga útil, pero la aplicación está convirtiendo "
en "
. Sin completar el valor del atributo con la cotización, la carga útil no funcionará.
El punto de inserción está marcado con USER INPUT
a continuación:
<input name="xyz" value="USER INPUT" type="text">
¿Cómo puedo explotar esto?