No logro pasar la prueba y "se me han acabado" las ideas.
he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a < y >, también & y # por lo que la codificación a html entities tampoco me funciona, los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación.
Ya no sé por dónde meterle mano, alguna pista? . Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.