直接get,neme=<script>alert(1)</script>
用正则过滤了<script>和</script>,我们name=<Script>alert(1)</Script>
用正则过滤了<script>和</script>(/i表示无视大小写),但只过滤一次,我们嵌套绕过neme=<sc<script>ript>alert(1)</s</script>cript>,或者不用<script>标签,用name=<img src='' οnerrοr=alert(1)>绕过。
匹配到script就报错,我们用name=<img src='' οnerrοr=alert(1)>绕过。
匹配到alert就报错,我们用neme=<script>confirm(1)</script>或neme=<script>prompt(1)</script>绕过。
取得name,赋值到$_GET["name"]当做字符串在php被输出,首先我们要跳出字符串的双引号,其次我们要跳出echo范围,
所以我们用name=" ;alert(1);" 绕过,两边的双引号匹配原两边的双引号,让中间出来,alert(1)前后分号保证语法正确。
htmlentities函数是将函数里的字符转化为html实体,原本应该无论单引号双引号全部转的,但不知道为什么漏了个单引号没转,那么和第六题一样,我们可以利用单引号让alert(1)逃出来。构造语句name=';alert(1);'
这道题真是跳出思维。首先php里的$_SERVER[]数组是包含了很多网页信息的一个数组,而$_SERVER['PHP_SELF']指当前文件名,如题目当前文件名为example8.php,则$_SERVER['PHP_SELF']=example8.php
我们观察发现,这个数组的工作方式是将url中/XSS/及其之后的语句不做任何过滤地注入到表单form里面提交,演示如下
url中的/没有任何意义但是必须,用之分隔字符否则会报错。我们可以看到,我们可以通过这样在form表单这个元素里面随意添加属性。可以点击按钮执行js代码的属性,马山想到οnclick=alert(1),而form表单也有个οnsubmit=alert(1)也行。
那么我们就构造语句example8.php/"οnclick=alert(1) name="1 ,然后点一下按钮就弹窗了。(这里只是属性,所以不用分号)
document.write(location.hash)返回url中的锚,就是url中#之后的内容。所以我们直接把url#的hacker改成<script>alert(1)</script>就行。