初始web for pentester(靶场)之XSS

昨天由于刚接触web安全，不了解靶场相关知识，加上网站上关于web for pentester有关视频资料少之又少，多数是DVWA的，昨天就初步探究一下DVWA，今天看了下《白帽子讲web安全》这本书，详细了解了xss相关知识。ps：小白还是推荐先看书，不要先看百度相关论坛知识点的帖子和他人相关视频，从书本开始好一点。

example1
首先xss实验example1是一个过滤性能很低反射型xss的实验，打开后在url中name后边修改传参值可以更改页面中的显示值，也可输入script相关代码如alert弹窗，如：http://192.168.184.128/xss/example1.php?name=

这个是自己写的有关原理类似的小例子
1.测试反射型xss
在test.php中写如下一段文字

".$input."

"; ?>

放入服务器中，url地址写入http://127.0.0.1/test/test.php?param=hello%20word，则屏幕显示为hello word
如果url写入http://127.0.0.1/test/test.php?param=%3Cscript%3Ealert(/xss/)%3C/script%3E
则弹窗/xss/

example2
第二个例子对于script标签进行了过滤，但是没有对大小写过滤

example3
第三个例子如果写2层script嵌套则不敏感，如：name=