Hello there, ('ω')ノ
A1のメニューもやっていなかたようで。
まずは動作確認をして。
HTMLソースコードを見てみると。
下記のファイルが呼び出されているようで。
ソースコードを見れば攻め方はわかるのですが。
/owaspbwa/bwapp-git/bWAPP/htmli_get.php
とりあえずは、下記の基本的なインジェクションを入力すると成功して。
<script>alert("hello")</script>
次にセキュリティレベルをmediumに変更して。
今度は、同じ入力では成功せず。
とりあえず、下記をBurp SuiteでURLエンコードしてみて。
<script>alert("hello")</script>
エンコードした内容を入力してみると成功して。
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%68%65%6c%6c%6f%22%29%3c%2f%73%63%72%69%70%74%3e
ちなみにhighレベルだと、PHPソースコード内でしっかりと対応しているようで。
Best regards, (^^ゞ