Profil ayarları sayfasında izin verilmeyen tek boşluk karakteri, html boşluk kodu ile aşılmakta.
Bypass edebilen kod:
& # 160 (Boşluksuz.)
Bu kodu yazıp kaydettiğimiz de, kayıt edilen kod sonradan çözümlenerek boşluk olarak profilimizde yansımaktadır.
Sadece profil sayfasında değil bir çok sayfada bu html kodu çözümlenmektedir, bunu minimal xss açığı olarak tanımlayabiliriz.
admin