如果内容类型是应用程序/强制下载，HTTP头注入会允许XSS漏洞吗？

Question

我目前正在执行一个五级文件，我发现一个应用程序很容易受到http标头注入的影响，在该应用程序中，用户输入将反映在Content-Type头之后，而Content-Type被设置为application/force-download。也就是说，攻击者可以在GET参数中传递内容，然后GET参数反映在标头中。想象一下这样的请求：

/vulnerable_application?param=reflected-header_malicious_payload

这就产生了这样的回应：

HTTP/1.1 200 OK
Date: Wed, 06 Nov 2019 22:14:22 GMT
Server: [...]
Content-Length: 2
Content-Type: application/force-download; charset=UTF-16
Content-Disposition: attachment; filename=reflected-header_malicious_payload
Connection: close

我试图评估这一发现的严重性，特别是它是否允许反射XSS攻击。在我看来，没有办法绕过Content-Type: application/force-download，这使我相信严重程度是相当低的。

Answer 1

您可能是对的，我也想不出以这种方式获得XSS的方法，因为有Content-Type: application/force-download头。

也就是说，一旦您可以编写HTTP头，就会有一堆与XSS完全无关的脏东西可做。从我的头顶上：

• HTTP响应分裂和走私
• 添加另一个cookie头，它允许您在易受攻击站点的域中强制cookies进入受害者的浏览器(我确信，如果您开始覆盖合法cookie，那么下次用户使用中毒cookies连接到合法站点时，您就会得到有趣的行为)。

如果这是我的笔试，我可能会停在这里，并文件“高HTTP头注入”。如果客户想要一个PoC，我的下一步将是查看HTTP标头列表，找一个我可以做一些损坏的。