Sniff Leak
Conteúdo do script vazado convertendo-o para UTF16
Este artigo vaza um texto simples porque não há cabeçalho X-Content-Type-Options: nosniff
adicionando alguns caracteres iniciais que farão o javascript pensar que o conteúdo está em UTF-16 para que o script não quebre.
Conteúdo do script vazado tratando-o como um ICO
O próximo artigo vaza o conteúdo do script carregando-o como se fosse uma imagem ICO acessando o parâmetro width
.
Last updated