Esto me recuerda a un post que leí hace tiempo de ~ Yoya ~ en elhacker. La gente no asocia el XSS con JavaScript, únicamente se piensa que sirve para mostrar un alert o para robar una cookie, pero es mucho más que esto, es ingenio (como dice Prophet) utilizando todas las herramientas de las que te provee JavaScript, no limitándose a lo pensado por todos.

Te adjunto otra de un XSS

Seguramente necesite algún tipo de condición para mostrar el panel bueno, nosé...
Tal vez esté de por medio el htaccess pasa la url y se intentará mirar

Los de avast ya han respondido, cito el mensaje:

CitarHello,

thank you very much for this report. If this is true we shout hang them, isn't it?
Have a nice day.

Best regards,

Avast Software a.s. 2nd level support team

Was this answer helpful? To leave your feedback, please click here:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ticket Details
===================
Ticket ID: UGM-739057
Department: 2nd Level Tech Supp
Priority: Default
Status: On Hold

La parte de "we shout hang them", no me ha quedado muy clara xD, pero bueno, las gracias son de agradecer valga la redundancia

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Buen trabajo, despues contanos que te responden y si te dan recompensa.

No he mirado si lo han fixeado o no, pero de momento ni las gracias xD. Si responden o dan recompensa lo diré .

La variable vulnerable es username, pasada por POST, posteriormente si se siguen las cabeceras se puede obtener el link con la inyección ya hecha, sin necesidad de pasar otra vez los parámetros.

Ya ha sido reportada

Además también devuelve un error ASP, sin embargo en cuanto detecta una posible inyección de código te redirige al index. Las variables vulnerables son ppl y ordenar.