Добрый день!
Изучаю разновидности xss. Сейчас остановился на XSS DOM.
Тестирую все на обновленной dvwa(Damn Vulnerable Web Application).
Большинство браузеров энкодят строку url и мне не удаётся прописать javascript в url-e как это делал раньше. Мой запрос преобразовывается в:
www.xss/com/default=123%253Cscript%253Ealert('XSS')%253C%252Fscript%253E
Подсказка:
Не нужно ничего делать на стороне сервера т.к. защитный механизм находится на клиентской стороне.
Посоветуйте методы эксплуатации или же в каком направление двигаться?