Reproduction minimaliste du filtrage de la page poppart-public de
particuliers.sg.fr. Les paramètres an200_cp et
an200_codeoffre sont reflétés dans un template-literal JavaScript
(entre backticks).
Deux défenses se cumulent :
• WAF serveur (PHP) — bloque 8 caractères : NUL [ \ ] ^ ` { } (renvoie 403).
• Sanitizer client (JS) — échappe & < > " ' / avant l'insertion.
Objectif : obtenir une exécution JavaScript (XSS) malgré ces deux filtres.
Modifie les paramètres dans l'URL, ex. ?an200_cp=888&an200_codeoffre=t123,
puis observe le view-source.