dvwa之XSS (Reflected)
Security Level: low
查看源代码可知,对输入的字符串没有进行任何过滤
漏洞利用
输入
<script>alert('icepeak')</script>
Security Level: medium
查看源代码可知,相当于只是利用黑名单过滤了
<ScRIpt>alert('icepeak')</SCRipt>
Security Level: high
查看源代码可以看出,使用正则表达式过滤了script的每一个单词,后面的/i表示不区分大小写,所以这里不能再使用script函数
漏洞利用
输入
<img src='#' onerror=alert('icepeak')>
Security Level: impossible
查看源代码可知,htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。防止浏览器将其作为HTML元素。所以不存在xss漏洞了