XSS-Game 实战解析：从Level1到Level18的攻防思维演进

1. XSS-Game入门：理解基础注入逻辑

第一次接触XSS-Game时，很多人会疑惑这到底是个什么游戏。简单来说，这是一个专门设计用来练习XSS（跨站脚本攻击）技术的在线靶场，包含18个难度递增的关卡。每个关卡都模拟了真实Web应用中的不同场景，你需要找到漏洞点并成功执行alert()弹窗才能通关。

Level1作为入门关卡，设计得非常简单。它模拟了一个用户登录场景，URL中的username参数会直接显示在页面中。我刚开始做的时候，直接尝试了最经典的<script>alert(1)</script>，没想到一次就成功了。这让我意识到，原来很多Web应用真的存在如此基础的漏洞。

查看页面源码会发现，用户输入被直接拼接到了HTML中：

<h2>Welcome, <?php echo $_GET['username']; ?></h2>

这种毫无防护的代码在十年前很常见，现在虽然少了很多，但在一些老旧系统或开发经验不足的项目中仍可能遇到。通过这个关卡，我养成了两个重要习惯：第一是永远先查看页面源码，第二是优先尝试最基本的XSS payload。

2. 属性注入与闭合技巧实战

Level2开始引入了一些安全防护，但存在明显的设计缺陷。这个关卡模拟了一个搜索功能，用户输入会显示在两个地方：搜索框和结果区域。审计源码后发现，开发者对搜索框的输出使用了htmlspecialchars()进行转义，但在结果区域却直接输出了原始内容。

这里的关键突破点是发现输出位于标签属性内：

<input type="text" value="用户输入">

要在这里执行XSS，需要先闭合value属性。我尝试了"><script>alert(2)</script>，成功弹窗。后来发现还可以用更简洁的payload：" onmouseover="alert(2)，当鼠标移过输入框时就会触发。

这个关卡教会我：

• 同一页面可能存在多个输出点，安全防护可能不一致
• 在属性中执行XSS需要先闭合原有属性
• 事件处理器（如onmouseover）可以替代script标签

3. 绕过基础过滤的三种思路

Level3到Level5展示了开发者逐步加强的过滤措施，也让我学会了如何见招拆招。

Level3中，开发者使用了htmlspecialchars()但未设置ENT_QUOTES参数，导致单引号未被转义。通过payload'onclick='alert(3)，我成功在点击时触发弹窗。这让我明白安全函数的配置参数同样重要。

Level4过滤了<>符号，使得常规的标签注入失效。但通过"onclick="alert(4)这样的属性注入仍然可行。这里的关键是理解不同过滤规则的局限性。

Level5则开始过滤特定关键词，如"script"和"on"。我尝试了大小写混合（如ScRiPt）和替代标签（如<img src=1 onerror=alert(5)>）都取得了成功。这关让我意识到黑名单过滤的脆弱性，只要有一个漏网之鱼就可能全盘皆输。

4. 高级绕过技术实战解析

从Level6开始，挑战难度明显提升，需要组合多种技术才能突破。

Level6采用了更全面的关键词过滤，但忽略了大小写问题。通过简单的<Script>alert(6)</Script>就轻松绕过。这让我想起一个安全原则：任何不区分大小写的过滤都是不完整的过滤。

Level7更进一步，在过滤前先将输入转为小写。这时双写绕过就派上用场了：<scrscriptipt>alert(7)</scrscriptipt>。当过滤器移除中间的"script"后，剩下的字符正好组成新的script标签。

Level8引入了HTML实体编码的挑战。我花了些时间研究如何让浏览器解码后再执行，最终用javascript:alert(8)成功突破。这里的关键是理解浏览器解析HTML的多阶段特性。

5. 隐藏输入点与HTTP头注入

Level10开始出现了隐藏的输入点，这需要更全面的审计技巧。通过查看页面源码，我发现除了明显的搜索参数外，还有t_sort等隐藏参数。使用"onclick=alert(10)type="text这样的payload，不仅注入了事件处理器，还让隐藏输入框显示出来。

Level11-13则将战场转移到了HTTP头部：

• Level11通过Referer头注入
• Level12通过User-Agent头注入
• Level13通过Cookie注入

这些关卡让我意识到，Web应用的输入点远不止可见的表单和URL参数。使用Burp Suite拦截修改请求是通关的关键，这也反映了现实中很多API漏洞的利用方式。

6. 终极挑战：复合绕过技巧

最后的Level16-18需要综合运用所有学到的技术。Level16过滤了空格，我用%0d%0a（URL编码的换行符）代替；Level17-18则需要在不使用<>的情况下直接拼接事件处理器。

特别是Level17的payloadb onmouseover=alert(17)非常精妙：

• 利用参数直接拼接进属性值的特点
• 通过空格分隔属性和事件处理器
• 不需要任何特殊符号就完成注入

通关整个XSS-Game后，我的Web安全视野得到了质的提升。最大的收获不是记住了几个payload，而是培养了一种"攻击者思维"——学会像黑客一样思考，才能更好地防御黑客。建议每个Web开发者都亲自尝试这个靶场，你会惊讶于原来XSS有这么多变化形式。