DVWA
  • Introduction
  • About The Author
  • Brute Force
    • Pengenalan
    • Low
    • Medium
    • High
  • Command Injection
    • Pengenalan
    • Low
    • Medium
    • High
  • CSRF
    • Pengenalan
    • Low
    • Medium
    • High
  • File Inclusion
    • Pengenalan
    • Low
    • Medium
    • High
  • File Upload
    • Pengenalan
    • Low
    • Medium
    • High
  • SQL Injection
    • Pengenalan
    • Low
    • Medium
    • High
  • SQL Injection (Blind)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (DOM)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (Reflected)
    • Pengenalan
    • Low
    • Medium
    • High
  • XSS (STORED)
    • Pengenalan
    • Low
    • Medium
    • High
  • CSP Bypass
    • Pengenalan
    • Low
    • Medium
    • High
Powered by GitBook
On this page
  • Mencari Informasi
  • Melakukan Serangan

Was this helpful?

  1. XSS (Reflected)

High

XSS (Reflected) level High on DVWA

Di bawah ini adalah source-code dari XSS (Reflected) level medium di DVWA.

vulnerabilities/xss_r/source/high.php
<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

Mencari Informasi

Pada source code di atas terlihat bahwa pattern "<s*c*r*i*p*t" tidak diizinkan. Tetapi seperti pada level sebelumnya kita tidak menggunakan tag <script>. Sehingga kita masih bisa menggunakan payload yang sama seperti pada level sebelumnya.

Melakukan Serangan

Oke langsung saja kita gunakan payload sebelumnya.

PreviousMediumNextPengenalan

Last updated 5 years ago

Was this helpful?

Yup! Berhasil lagi. Mudah bukan?

Tetap semangat! Happy Hacking!

😁
🍻