后台源代码中定义了一堆过滤的规则，由于PHP对于大小写不敏感，我们可以把href标签使用大小写的方式进行绕过。

现在改变一下思路，用大小写的方法改写href属性：

a">

5. 双写法绕过

在level7中的地址搜索栏插入JS代码："> a，后台把代码进行了替换：

a">

分析level7部分关键代码：

欢迎来到level7
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "

没有找到和".htmlspecialchars($str)."相关的结果.

".&＃39;





level7中过滤还是用的str_replace函数，在构造payload的时候只需要对script和href标签使用双写法绕过即可。

 

构造XSS代码如下：

"> a

 

 

6. html实体编码

 

对于之前的绕过方法，在level8中都无法使用成功了：

后台对于之前所有的绕过方法都无法使用了，现在我们需要换一种思路，使用html编码的方式，也就是在JS代码中加入html编码，例如对于Javascript关键字，我们可以把字母c替换成html编码&＃67; 最终构造的payload是这样的：

javas&＃67;ript:alert()

 

 

注意：是把JS代码插入input框中（如果放在URL地址栏中，系统会对html编码做特殊处理，导致插入的JS代码无法执行），但是后台在处理代码实际上是这样的：


友情链接

 

点击添加友情链接后，然后点击友情链接就会看到alert弹窗：

 

 

7. 注释符号绕过

直接插入JS代码Javascript alert();的话，后台页面将会对代码进行过滤：