Si te devuelve 200 es un ok status pero yo lo que veo es un 404 de not found.

Estás testeando un cliente en local sin el back-end? O testeando las peticiones a mano?
No tienes el fuente que estás testeando? Igual el error te lo da por la comilla simple y no por el alert.

Supongo que tendrás desactivado el filtro de navegador que te protege de XSS no? Porque si lo tienes activado no vas a ver nunca un alert en una página real.
Muchos te chapan las comillas dobles o estás rompiendo y abriendo el código y deformando la web. Haz simplemente alert(1); que no entraña riesgos para la web.

Ahh vale. Entonces todo normal. La página en blanco podría ser la página de "error". No tengo ni la menor idea porque no sé que código estás testeando. Prueba más payloads a ver como actúa.


Las estás crafteando a base de plain-text sin mirar nada? Igual por eso te responde en blanco? Probaste con la url normal si también devuelve la página en blanco? Igual es porque no tienes la cabecera de las cookies seteada o algo de sesión. Si el backend se supone que te redirige mirando el ID de la sesión en el archivo de la sesión y estás crafteando la cabecera sin ninguna sesion ni cookies, no tiene un usuario al cual hacer logout. Pueden ser varias cosas.

Pufff hay un montón de cosas que puedes testear. Inyeciones de comandos, htmli, xml, xxe, xss, sqli, Xpath, ldap, path transversal, csrf, directorios y archivos predecibles, data leaks, subida de archivos...
A cerca de PHPcake ni idea. Héchale un ojo por google a ver que encuentras. También mira los típicos robots.txt, ruta/../../../../../../../../../../../etc/passwd
random/../../../../file.txt El sitemap.xml etc.

Puedes testear el html en local y pasarle scanneres para buscar errores client-side si está parseando o validando en la parte del cliente, puede que cometa los mismos errores en el server. No te quedes en la web, mira también la red y el software detrás.