Экранирование кавычек в XSS как ?

[k0priz]

Есть сайт, на нем XSS
на сайт передается вот такой запрос через burp

А это тварь на любые ковычке будь то одинарные или же двойные ставит \

В силу своей зелености я не знаю что с тим сделать, и прошу помощи у умных мира сего.

 

[ordinaria1]

попробуй с помощью ASCII

<script>alert(String.fromCharCode(49,50,51))</script> = <script>alert('123')</script>

HelloWorld = <script>alert(String.fromCharCode(72,101,108,108,111) + String.fromCharCode(87,111,114,108,100))</script>

 

[k0priz]

попробуй с помощью ASCII

<script>alert(String.fromCharCode(49,50,51))</script> = <script>alert('123')</script>

HelloWorld = <script>alert(String.fromCharCode(72,101,108,108,111) + String.fromCharCode(87,111,114,108,100))</script>

Очень хороший вариант, спасибо, попробовал алерта нету

 

[mil0]

Очень хороший вариант, спасибо, попробовал алерта нету

эмм... ну тут смотря где есть xss. Вариантов полно. Юзай burp intruder впихни пейлоады отсюда: https://book.hacktricks.xyz/pentest...pting#javascript-bypass-blacklists-techniques
Там дофига вариантов есть

 

[G1fl3x]

Закодируй в двойные либо обратные, синтаксис жс их поддерживает.

 

[barnaul]

mil0 ипать, старик, ты ещё жив) Радость испытал я

 

[mil0]

mil0 ипать, старик, ты ещё жив) Радость испытал я

жив жив но старею редко тут, сам как?))