Hello there, ('ω')ノ
Unicodeエスケープされた。
鍵カッコ、一重引用符、二重引用符、円記号、バッククォート付きの。
テンプレートリテラルで反射型XSSを。
まずは、動作確認から。
レスポンスボディから処理を確認して。
たとえば、下記のような記号を入力すると。
<>' "\
バックスラッシュでエスケープしているようで。
${~}には、変数や計算式を入れることができるので。
下記を入力して検索するとスクリプトが実行されて。
${alert(1)}
クリアできた。
ちなみにレスポンスボディは下記のとおりで。
Best regards, (^^ゞ