hacktricks/src/pentesting-web/xss-cross-site-scripting/sniff-leak.md

Sniff Leak

{{#include ../../banners/hacktricks-training.md}}

Витік вмісту скрипта, перетворюючи його в UTF16

Цей звіт витікає текст/plain, оскільки немає заголовка X-Content-Type-Options: nosniff, додаючи деякі початкові символи, які змушують javascript вважати, що вміст у UTF-16, тому скрипт не ламається.

Витік вмісту скрипта, обробляючи його як ICO

Наступний звіт витікає вміст скрипта, завантажуючи його так, ніби це зображення ICO, отримуючи доступ до параметра width.

{{#include ../../banners/hacktricks-training.md}}