Полный XSS полезная нагрузка:
% 2522% 253e% 253c% 2573% 2563% 2572% 2569% 2570% 2574% 253e% 2561% 256C% 2565% 2572% 2574% 2528% 252F% 2558% 2553% 2553% 252F% 2529% 253c% 252F% 2573% 2563% 2572% 2569% 2570% 2574% 253e = XSS-ME
Если вы выполняете один url- вы получите следующее:
%22%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2f%58%53%53%2f%29%3c%2f%73%63%72%69%70%74%3
При выполнении 2-го URL расшифровывать снова вы получите полезную нагрузку:
"><script>alert(/XSS/)</script>=XSS-ME
Это является Doulbe-кодировке URL полезной нагрузки. когда %2522
является url-decoded, он становится: %22
, потому что hex-25 равен%, и когда он снова декодируется, он становится "
.
http://security.stackexchange.com/ - хороший форум для таких вопросов. –