Estaba buscando un XSS reflejado y no he podido superar la codificación de la URL realizada en el carácter de barra invertida. El <script>alert(1)<script> se refleja tal como es, pero la barra invertida se codifica en %2F . Intenté la codificación doble de la barra diagonal inversa y el envío del nuevo script directamente en la URL, pero esto tampoco parece funcionar. Los caracteres especiales como = y ; también se codifican en URL. ¿Debo dejar de buscar XSS y buscar otro punto de explotación o hay una manera de causar un XSS?
Actualización: Después de intentar insertar <xml%00onreadystatechange%253Dalert(1)> directamente en la URL, la cadena reflejada que obtengo es <xml▯onreadystatechange=alert(1)> pero en la URL, todo después de que <xml se trunca. Supongo que algo funcionó aquí y los filtros lo detectaron y truncaron todo después de <xml .