Pada source code di atas terlihat bahwa pattern"<s*c*r*i*p*t" tidak diizinkan pada form Name. Tetapi, pada level medium pun kita tidak menggunakannya, sehingga kita bisa menggunakan cara seperti sebelumnya.
Melakukan Serangan
Kita akan coba seperti pada level sebelumnya, yaitu dengan membuat form Name bisa diisi banyak karakter, lalu diinputkan dengan payload yang sama.
<body onload="alert(document.cookie)">
Mudah bukan? Kita harus teliti dan sering mencoba.