.keyword提交”test>//构造闭合进行注入，根据返回的html代码，后台对尖括号进行了过滤

2.构造标签事件进行过滤，返回值实在input标签中，尝试构造onclick事件触发xss。点击输入框后，触发onclick事件，响应onclick中的javascript代码。

3.后台源代码分析。对get请求的keyword变量，过滤掉尖括号，采用htmlspecialchars过滤后用echo直接输出在返回地html中

刚开始进来就已经发现相比于上一个关卡，又多了一个ref参数，

在对于sql注入的学习中，我们已经知道，reffer参数注入或者cookies注入这一类的，于是大胆猜测这次在reffer处进行xss注入，打开hackbar，添加了reffer的选项后，添加语句

“ type=”text” onclick=” alert(‘xss’)

确定后，点击框处，结束本题

‘‘

‘‘

‘‘

‘‘

‘’’

第十二题一开始进入后先是查看源代码，发现11题的ref换成了ua，

ua在这种地方，联想以前的useragent注入，现在这个ua大概率就是useragent，操作相较于第十一题没什么新鲜感，依旧是将之前放到ref的地方换成useragent，如图所示

依旧是点击框处，结束本题

‘’’

1.对keyword提交poc，根据返回的源代码，过滤了尖括号，尝试编码不能绕过，无法构造事件触发xss、无法利用属性的javascript协议、无法利用css注入。

2.详细查看源代码，可能有隐藏的表单，尝试提交t_link、t_history、t_sort变量，t_sort变量返回在了html的value中，尝试进行了绕过。构造poc：”type=”text” onclick=”alert(1)”，web浏览器成功执行 。ps:type=”text”为构造一个文本框，用来触发onclick事件

3.后台源代码分析，获取了get请求的keyword变量、t_sort变量，t_sort变量过滤掉了尖括号，输出在value属性中

1.采用第八关的poc，发现poc中应包含合法的url，poc中添加//http://www.baidu.com,发现可以进行绕过

2.后台源代码分析。get提交的keyword变量，替换关键字script、on、src、data、href、”，判断该变量有无http://

通过源代码发现输入的值会被传入herf，点击友情链接会执行被带入的参数
利用这点进行注入，javascript:alert()，发现被过滤，大小写绕过也不行，尝试html实体注入

首先尝试输入<>alert(1)<>
发现被屏蔽
之后尝试双写，过关

1.点击图片完成get请求，提交name变量test，完整的显示在返回的页面源代码中。

2.get请求的name变量放入xss poc，完整返回在html中，浏览器响应xss poc。

3.后台代码分析，通过$_GET[“name”]，获取name的值，没有过滤通过echo直接进行了输出

1.构造事件 “ oninput=’alert(1)’，返回的html代码对on进行了过滤。尝试大小写，依然进行了过滤。尝试编码，不识别。

2.尝试POC test”>//,根据返回的html，后台对script进行了过滤，但是并未对尖括号进行过滤。

3.利用没有过滤尖括号，构造a标签再尝试利用a标签的href属性执行javascript:伪协议，”>,没有对javascript进行过滤，触发xss

4.后台源代码分析，对get提交的keyword变量，script替换成scr_ipt,on替换成o_n，htmlspecialchars函数过滤后，输出在html中

1.keyword提交”test>//构造闭合进行注入，根据返回的html代码，后台对尖括号进行了过滤

2.构造标签事件进行过滤，返回值实在input标签中，尝试构造onclick事件触发xss。点击输入框后，触发onclick事件，响应onclick中的javascript代码。

3.构造事件onmouseover，事件成功执行javascript:伪协议。

4.后台源代码分析，采用htmlspecialchars函数对获取keyword变量进行过滤，输出在input标签的value中。htmlspecichars对尖括号进行了过滤。