DVWA-11.1 XSS (Reflected)（反射型跨站脚本）-Low

时间：2020-05-06 18:35:46 阅读：45 评论：0 收藏：0 [点我收藏+]

Low Level

查看代码

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) {
    // Feedback for end user
    $html .= ‘<pre>Hello ‘ . $_GET[ ‘name‘ ] . ‘</pre>‘;
}

?>

array_key_exists() 函数检查某个数组中是否存在指定的键名，如果键名存在则返回 true，如果键名不存在则返回 false。这里键名为 name

可以看到，low级别的代码只是判断了name参数是否为空，如果不为空的话就直接打印出来，并没有对name参数做任何的过滤和检查，存在非常明显的XSS漏洞。

漏洞利用

我们输入 <script>alert(‘xss‘)</script>　直接就执行了我们的 js 代码

技术分享图片

DVWA-11.1 XSS (Reflected)（反射型跨站脚本）-Low

原文：https://www.cnblogs.com/zhengna/p/12781049.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)