Te vale la pena denunciar? xD

Con suerte puedes buscar la thumbnail usando reverse image search.

Uno de los payloads no es válido, ya lo arreglé.

<html>
<body>
<script>
var $body = {
  html: function(string) {
          document.body.innerHTML = string;
        }
};
 
$body.html('\\' + alert(1) ); //'); 
$body.html('stringmanolo\\'); alert(2);//'
 
</script>
</body>
</html>

Un printf con un número por linea y ya ves en que linea peta.

Puedes hacer un script en js para que te añada los printf.

Algo tipo:

<textarea id="code"></textarea>
<br />
<textarea id="resp"></textarea>
<br />
<button id="add" type="button">add</button>
...
 
 
$("#add").onClick = function() {
  var code = $("#code").value, tmp = "";
  for (var i = 0; i < code.length; ++i) {
     tmp += code.replace("\n", '\nprintf("Line number ' + i + '); printf("\n");');
  }
  $("#resp").value = tmp;
};

Por qué no le añades a mano el caracter de escape cuando defines el string?

Si vas a meter input de usuario sin sanitizar, te hackean la web. Y esto no lo evitas con html_entities ni la función de turno.

Véase tu ejemplo:

$(selector).html('<p>ves aquella esquina? \' tu madre y tu hermana ahí trabajan!</p>');

Imagínate que me dejas registrarme en tu web y vas a poner mi nombre de usuario ahí:

$(selector).html('stringmanolo');

- Si escapas con remplace las comillas hago:
user: stringmanolo\'); alert(); \'
Y queda:

$(selector).html('stringmanolo\\'); alert(); \\'');

O hago:
user: \'+alert());//

$(selector).html( '\\' + alert() ); //');

Usa htmlpurifier.
https://github.com/ezyang/htmlpurifier


De todas formas si no sabes lo que pueden hacer en las headers, en php, en js, en html, en css, en jquery y demás... Poco vas a solucionar. Acabaras metiendo input sanitizado en el js y te harán inyección.

Deberías leerte libros de seguridad web.

Pásanos el HTML que te agregan a las "Fuentes De la información que envia El ISP."

Dudo que te raptaran el IMEI. Los ISP por lo general bloquean esos ataques automáticamente. El que sabe hacer eso, sabe hacer otras cosas más sencillas y eficaces.

Danos más detalles.

\'

De noche te va mejor porque hace más frío en el ambiente y porque hay menos gente tirando del internet de tu compañía.
Los criptominers no descansan para dormir.

También puedes revisar las cabeceras web del servidor para obtener más info así como testear en base a fingerprint.

Desde la consola (cmd windows, terminal linux)
curl -i https://example.com

nmap -A -T4 example.com


También puedes hacer una prueba rápida (la descubrimos en el telegram de elhacker.net, no testeamos mucho pero parece funcionar) enviando el %.

curl -i https://foro.elhacker.net/%
(Puedes ver si tiene Apache)

curl -i https://foro.elhacker.net/%%
(Puedes ver si tiene Cloudflare)

curl -i https://foro.elhacker.net/%%%
(Puedes ver si tiene Nginx)

Pinchando en los links también lo ves, pero con curl tienes más info.

Hay otro tipo de fingerprint de servidores con el que puedes identificarlos únicamente.

Cuales? Supongo que lo has mirado con un scanner auto que te avisa de vulnerabilidades de software opcional.