Кавычка
@webpwn
Кавычка
Если у страницы не будет указан Content-Type (передаю привет старику HTTP/0.9) - браузер попытается сам определить содержимое. Тоже самое, если тип контента браузеру не будет знаком. Internet Explorer 8 (спи спокойно Windows XP), например, не признает application/json, поэтому HTML попавший в него также срендерится и XSS выполнится. В жизни этот браузер уже не встретить, но часто в BugBounty это принимают.
Для Chrome сниффинг HTML заработает, если первыми символами будет валидный HTML-тег. Например {"xss":"<script>alert()</script>"} — уже не пройдет.
Заголовок X-Content-Type-Options: nosniff в свою очередь отключает у браузера функциональность определения содержимого.
Отдельно про text/plain. Сниффинг содержимого text/plain замечен также у IE 8 если у файла не будет расширения. А с помощью ловкости рук можно заставить выполнить там XSS даже на более свежих версиях, если на ресурсе не запрещена загрузка в фрейме.
https://jankopecky.net/index.php/2017/04/18/0day-textplain-considered-harmful/
https://jankopecky.net/index.php/2017/04/18/0day-textplain-considered-harmful/
4 11.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram