Eu não achei o CTF que eu queria, mas eu comecei por este site aqui, que explica alguns tipos de XSS.

Ele explica como evitar aqui.