xss靶场挑战之旅总结

第一关：

没有做任何的过滤
我们试下

第二关：

我们用">
有转义
参考HTML的转义
输入的 " > < 被做了转义处理，变成了"><

我们用javascript里边的oninput事件试试
我们用12’ οninput='alert(12)

第四关；

做了过滤

用"οninput="alert(‘guest’)试试
第五关

被替换了我们换用大写的被替换了我们换用大写的试试

发现还是不行
我们用html事件法试试

字符一样还是被转换了
使用伪链接构造一个超链接试试

">link

第六关：
被替换了
我们用"οninput="alert(‘guest’)试试
发现还是不行

我们用伪链接构造试试

href被替代了，大小写绕过
">link
第七关：
script被过滤了

on被过滤了
我们用"> alert(“guest”)试试

第八关：

待更新…