Muy buenas a tod@s
Buscando inyectar código XSS en una página vulnerable veo que tiene un filtro y al meter una secuencia de código, por ejemplo, esta:
<img src="x" onerror="alert(0)">
Me la transforma en esto:
<img src=3D"x" onerror=3D"alert(0)">
¿Cómo veréis después del = me añade un "3D", hay alguna forma para poder evadir esto partiendo del código que yo he compartido?
Hay mil formas de escapar de un filtro, puedes utilizar cualquier lista de los muchos fuzzers que hay, pero lo más últil es, que aprendas como funciona el filtro y así intentar bypassearlo.
Intenta ejecutar el XSS sin poner = y nos cuentas.
También he de decir que no siempre se puede bypassear, pero con esos datos, no puedo ayudarte más.