Hola a todos, no tengo mucho conocimiento con los XSS y justo me ha surgido un problema. Envio un vector, el mas simple, pero no llega a saltar el alert, simplemente se ve como texto en el html. A continuacion muestro como se ve en la ventana del firebug luego de enviar el vector.
(http://i.imgur.com/H9Al9Qo.png)
Debo mencionar que he intentado con otros tag html pero sigo obteniendo el mismo resultado. En conclusion, mis preguntas son: hay forma de explotar este xss?, esto es obra de un WAF? si es asi, solo debo buscar la manera de bypassearlo modificando los caracteres cierto?
Saludos,
Aún no sabes si es vulnerable, ves tu entrada así porque está sanitizada mediante htmlentities.
Como bien dice Jimeno, está filtrada por htmlentities, por lo que ves el código que has insertado pero nunca se ejecuta.
Si necesitas mas información, puedes ver la web de php o buscar por Google.
https://php.net/manual/es/function.htmlentities.php
Un saludo.
Enviado desde BlackMovil5