BurpのDAST出力とその理解

最近、新しいDASTツールを含むBurpの最新バージョンにアップグレードしました。 DOMベースのJavascriptインジェクションが見つかったというレポートをツールから受け取っていますが、出力のダイジェストに問題があります。

データはtextarea.valueから読み取られ、evalに渡されます。ソース要素のIDはpastBoxFieldで、名前はpastBoxFieldです。以前の値は次のようにシンクに達しました：（dkezib％2527％2522` '"/ dkezib /> xrpjqc＆）

デモのPortswiggerの投稿はこちらです： https://portswigger.net/blog/dynamic-analysis-of-javascript この例は、注入された実際の値と概念実証。私が得ている出力にはこれがありません。上記のブロッククォートにあるものとソースとシンクのスタックトレースのみ。

私の人生では、これを再現したり、これが誤検出であるかどうかを確認したりすることはできません。注入された値がないので、シンクで到達した値である可能性があっても、これを確認できません。私はこのタイプのテストに比較的慣れていないので、これを手動でテストする方法があると確信しています。私はそのようなことを説明する詳細な説明を見つけようとしましたが、見つけることができません。明らかにPortswiggerのものですが、私の例よりも多くの情報を提供します。

これが誤検出であるかどうかを手動で確認する方法の正しい方向に誰かが私を向けることができますか？私は研究や何かを通して読んでもかまわない。 Firefoxでデバッグできることはわかっていますが、必要なものを追跡する方法がわかりません。それが事実である場合、私が明白な何かを見逃していることを叫んで、叱って、または指摘してください。