反射型XSS
1.low
PHP源码:
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
$html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>
从源码看出 , 服务器端直接接收参数$_GET[ ‘name’ ]没做任何处理,可以直接输入
<script>alert(/xss/)</script>
漏洞利用成功
2.Medium
PHP源码
<?php
// Is there any input?
if( array_key_exists( "name",