hacktricks/src/pentesting-web/xss-cross-site-scripting/sniff-leak.md

# Sniff Leak

{{#include ../../banners/hacktricks-training.md}}

## Lek scriptinhoud deur dit na UTF16 te omskep

[**Hierdie skrywe**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#modernism21-solves) lek 'n text/plain omdat daar geen `X-Content-Type-Options: nosniff` kop is nie deur 'n paar aanvanklike karakters by te voeg wat javascript sal laat dink dat die inhoud in UTF-16 is sodat die script nie breek nie.

## Lek scriptinhoud deur dit as 'n ICO te behandel

[**Die volgende skrywe**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#precisionism3-solves) lek die scriptinhoud deur dit te laai asof dit 'n ICO beeld was wat die `width` parameter benader. 

{{#include ../../banners/hacktricks-training.md}}