一、xss(reflected)
(1)难度:low
提交代码
(2)难度:medium
a、查看源代码,发现将<script>标签替换置空
b、发现将某个东西替换成空,首先想到“双写绕过”的办法
/****双写绕过eg:构造<sc<script>ript>,当<script>被过滤掉时,剩下的字符自动拼接在一起,就形成了<script> ****/
(3)、难度:high
查看源码,发现对多个字符均替换为空,考虑使用不含如下字符的其他语句提交
eg:body onload语句 <body οnlοad="alert(1);">