實驗環境

靶場：centOS 7 xss-labs

靶機：win 7

第三關

連結：http://靶場ip/xss-labs/level3.php?writing=wait

進去後發現也有個搜尋框，我們輸入123 後搜尋，然後回車檢視元素

發現和第二關一樣，這樣，我們繼續用第二關的payload試試看：

"><script>alert('hello');</script>

發現已經把某一部分東西給過濾了

好，我們繼續用123 探索，看把什麼東西給過濾了：

發現把單引號 ' 個給過濾了，其餘符號進行轉碼處理了，

這樣我們可以嘗試構造payload：

'><script>alert("hello");</script>

發現還不對，這樣我們可以考慮事件處理的方式來解題：

1' onmouseover=alert(document.domain);

這樣看起來像了，但是依舊沒成功，仔細觀察元素髮現，原來alert('hello')；後面有單引號和雙引號，我們可以註釋掉這2個，所以，繼續構造payload

1' onmouseover=alert(document.domain);//

成功進入下一環

最後，檢視原始碼，發現在value裡用了htmlspecialchars函式，

百度查詢得知，該方法是PHP的函式，是將預定義的字元轉換為html例項