как обойти кодировку html для выполнения атаки XSS ?

[alexander975]

при попытке выполнить атаку REFLECTED XSS с помощью панели поиска мой скрипт не срабатывает, потому что сервер КОДИРУЕТ его в HTML, когда я просматриваю исходный код, я нахожу свой скрипт таким : Rooms matching your search: <script>alert('привет')</script>. теперь я хочу знать, существуют ли какие-либо методы обхода техники HTML ENCODING для выполнения успешной атаки XSS?

 

[qqmka]

Используй xsser. Он создаёт много пэйлоадов, и там поймёшь, что +- будет работать

 

[Dexter DeShawn]

Для того и сервер заменяет спецсимволы, чтобы не лезли такие как ты со своими XSS )))
Поверх замены ещё можно функционал повесить, чтобы <script ещё на что-нибудь меняло.