Это уязвимость?

Question

[Александр Николаевич]

Читал про xcc уязвимости и решил найти сайт с этой уязвимостью и кажется нашел писать что за сайт не хочу но опишу что происходит и какие есть вопросы . Есть два поля одно для поиска другое для выбора: всех слов ,фразы или любого слова в общем выпадающий список .В поле поиска если написать просто слово то между двумя формами ничего не будет а если вставить"><script>alert()</script>
то между ними появиться
alert()" class="text-input" />
. Подскажите это уязвимость , если нужно сделать какие то манипуляции для дополнительной информации напишите .И какие могут быть последствия такой уязвимости ?
изображение того что происходит

Answer 1

[xmoonlight]

нет... это говнокод....
чем type=text не угодил?!

Answer 2

[Владимир Дубровин]

Да, скорей всего это можно раскрутить до XSS, попробуй вектор типа
" onmouseover="alert()" b="

Answer 3

[Дмитрий]

Да, это XSS и можно исполнять почти любой (Если фильтры все же есть) JavaScript код в браузере клиента... Нет фильтра на кавычки и они не преобразовываются в html-код. Можно попробовать разное:

"onfocus=prompt(/OPENBUGBOUNTY/) autofocus= />
"onmouseover=confirm(/OPENBUGBOUNTY/)
"onload=prompt(/XSSPOSED/)

Для защиты нужно бы использовать функции PHP:
strip_tags() – удаляет из строки все HTML-теги, кроме разрешённых.
htmlspecialchars() – заменяет все спецсимволы на их HTML-аналоги.