xss-labs靶场level6~10

level 6

知识:大小写法绕过str_replace()函数 

直接看源码来审计吧 

xss-labs靶场level6~10_第1张图片

发现大小写没有被过滤掉,这题能利用大小写进行绕过

"> <"
" Onfocus=javascript:alert() "
"> x <"

level 7

知识:双拼写绕过删除函数,标签与