Blops são perfeitos para ataques de injeção

Eles Permitem um ataque mais silencioso, pois são tratados como arquivos binários e podem passar pelo seu pelo Avas... digo, por ferramentas básicas. Também é possível sua execução pelo postman ou curl com o método POST.

São multiplataformas e dá para implementar num bagulho que não parece perigoso, tipo QR Codes, URL's, e até em pixels de imagens. Além disso podem ser executados por dispositivos na rede, por exemplo impressoras, dado que elas executam um código para entender o que há no documento, e caso tenha sido engatilhado por um pdf que tenha a variável que carrega o blop com o código embutido, ela acaba executando os comandos.

PS: Se o script estiver errado, me desculpem, pois estou começando também

Exemplos:

/###################/

const injectedCode = `

 function downloadFile(filename, text) {

 const element = document.createElement('a');

 const blob = new Blob([text], { type: 'text/plain' });

 element.href = URL.createObjectURL(blob);

 element.download = filename;

 element.style.display = 'none';

 document.body.appendChild(element);

 element.click();

 document.body.removeChild(element);

 }

 downloadFile('Test34"8===B"r4e.tx', 'Sente a pressão kkkkkk');

`;

const blob = new Blob([injectedCode], { type: 'application/javascript' });

/###################/

Há também scripts que camuflam a linguagem usada:

/###################/

const injectedCode = `

!function(){var e=document.createElement("a"),t=new Blob(["Sente a pressão kkkkkk"],{type:"text/plain"});e.href=URL.createObjectURL(t),e.download="Test34\"8===B\"r4e.txt",e.style.display="none",document.body.appendChild(e),e.click(),document.body.removeChild(e)}();

`;

const blob = new Blob([injectedCode], { type: 'application/javascript' });

/###################/