Low等级
前端限制了输入的长度
<script>alert(1)</script>
修改前端代码绕过限制
maxlength='100'
使用burpsuit改包绕过
Medium 等级
使用嵌套和大小写绕过发现name注入成功,message注入失败
查看源码发现在message处使用了strip_tags()和htmlspecialchars()进行过滤
High 等级
使用img和iframe标签绕过
Impossible 等级
使用了stripslashes()和htmlspecialchars()进行过滤