HTMLペイロードはげっぷで動作しますが、ブラウザでは動作しません

Question

私はbWAPPを調べていました。 HTML GETインジェクションセクションで、

%25%33%63%25%36%38%25%33%31%25%33%65%25%36%31%25%37%30%25%37%30%25%36%63%25%36%35%25%33%63%25%32%66%25%36%38%25%33%31%25%33%65

ペイロードとして、それはげっぷスイートで動作しました。

これが結果でした：

一方、エンコードされたhtmlペイロードをフォームフィールドに送信しましたが、エクスプロイトはブラウザーで機能しませんでした。

これが出力です：

また、burp repeater window>Request in browser>In original sessionそしてそれは働いた。

なぜそうなのか、本当に理解できません。

schroeder · Answer

Burpを使用する場合、ブラウザー側のJavaScriptまたはツールを使用せずにコードをサーバーに直接挿入します。

ブラウザでペイロードを入力すると、ブラウザ側のJavaScriptとツールによって処理されます。

つまり、サーバーに送信する前にブラウザーが入力をサニタイズしている可能性があります。 Burpのようなツールがテストに非常に役立つのはそのためです。