xss——pdfxss,mxss,uxss,flashxss

最新推荐文章于 2024-05-09 11:46:39 发布
最新推荐文章于 2024-05-09 11:46:39 发布
阅读量388 收藏
点赞数 5
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79592445/article/details/136603440
版权
本文介绍了跨站脚本攻击在uxss、flashxss(利用Flash文件)和pdfxss(通过PDF文件)中的应用。作者详细描述了如何通过浏览器插件漏洞测试、查找swf文件、反编译和利用这些漏洞进行攻击的过程,包括白盒和黑盒测试方法。
摘要由CSDN通过智能技术生成

uxss(但是需要很低的版本才可以使用)(但是csdn也会有过滤)

浏览器插件漏洞

搜索这个跨站语句,然后用翻译功能,它会触发跨站、

测试的时候可以去不断的测试它的所有功能,看也没有触发跨站

flashxss

里面有自身编写的语言,所有可以使用sdf来调用js代码来实施跨站

第一步,我们先找出swf文件

找到它发现是乱码,因为他是视频内容

从这打开发现他是视频播放器或者是视频

可以使用这个软件对swf进行反编译

此时

它这个语句可以调用js代码

就像这样

此时我们搜素这个

发现是这么调用的

发现是这么调用的(发现是他是传参用的)

这个是白盒,如果是黑盒就从数据包看看有没有加载swf文件,然后直接下载下来

pdfxss(也可用于文件上传)

用pdf编辑器存入后门语句

我i们将它拖到浏览器中

我们可以将这个pdf上传这个地方(

然后在访问这个上传地址,就会触发xss(当我们上传上去,然后再发给别人)

但前提是它能自动解析pdf

小白学安全hhhh
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pdf如何xss
yangker12148的博客
11-11 3584
0x00简介 在上传点时,如果上传不了图片格式的文件,可以尝试上传html或者pdf文件来达到xss的效果。上传html就不多说了,下面来说说怎么让pdf弹窗。 0x01步骤 这是原作者的github 环境准备:python3 需要准备poc.py和poc.js poc.py内容 # FROM https://github.com/osnr/horrifying-pdf-experiments import sys from pdfrw import PdfWriter from pdfrw.object
PDF XSS
11-13 1776
PDF XSS 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页...
XSS】服务器端 XSS(动态 PDF)
最新发布
大河之犬的博客
05-09 1198
如果一个网页使用用户控制的输入创建 PDF,您可以尝试欺骗创建 PDF 的机器人以执行任意的 JS 代码。因此,如果PDF 创建机器人发现某种HTML标签,并且解释它们,您可以滥用这种行为来引起服务器 XSS。在常规利用中,能够查看/下载创建的 PDF,因此您将能够查看您通过 JS 编写的所有内容(例如使用但是,如果您无法看到创建的 PDF,可能需要通过向您发出网络请求来提取信息(盲人测试)
【渗透测试】借助PDF进行XSS漏洞攻击
qq_48201589的博客
01-26 3755
在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其中大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。
pdfxss文件制作
weixin_66717977的博客
06-30 1267
pdfxss 跨站脚本攻击
PDF-XSS漏洞 详解
m0_73236215的博客
07-10 8138
PDF XSS漏洞是指攻击者通过在PDF文件中插入恶意代码,从而在用户打开PDF文件时执行恶意操作的一种安全漏洞。除了基本的PDF XSS漏洞,还存在一些变种漏洞,下面是关于这些变种漏洞的总结:JavaScript注入:这种变种漏洞利用PDF文件中的JavaScript功能,攻击者可以将恶意的JavaScript代码嵌入到PDF文件中,当用户打开PDF文件时,恶意脚本会被执行。这种漏洞可以用于执行各种恶意操作,如窃取用户的敏感信息、修改用户的数据等。
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
文件上传最容易忽略的文件类型:PDF
weixin_55802150的博客
07-28 870
当我们发现一个文件上传功能的时候,可能会尝试上传一些脚本文件,但是如果后端设置了文件白名单的时候,该怎么办呢。PDF XSS漏洞是指攻击者通过在PDF文件中插入恶意代码,从而在用户打开PDF文件时执行恶意操作的一种安全漏洞。2.限制PDF文件的来源:只从可信的来源下载PDF文件,避免下载和打开未知或可疑的PDF文件。4.定期审查PDF文件:定期审查已下载的PDF文件,删除可能包含恶意脚本代码的文件。1.更新PDF阅读器:及时更新PDF阅读器的版本,以获取最新的安全修复和漏洞补丁。
渗透测试-pdf文件上传-XSS
热门推荐
cdyunaq的博客
01-06 1万+
前言 pdf是portable document format的缩写,是目前广泛应用于各种场合的文件格式,其是由Adobe公司根据Postscript语言修改后提出的文件标准,并且被ISO组织接受,目前已经发展到2.0版本(ISO32000-2)。 目前广泛使用的是1.7版本,该版本pdf功能已经相当丰富,可以显示3D模型,播放多媒体音视频,执行Javascript脚本等功能。 PDF中的JavaScript利用 Pdf文件是应用广泛的一种文件格式,很多针对Adobe阅读器的CVE漏洞都是通过pdf
UXSS+FlashXSS+PDFXSS
xiaoheizi的博客
06-29 306
白盒中可以把swf文件反编译后直接搜ExternalInterface.call,找到之后看是否有参数传递,如果有我们就可以控制参数的输入输出。直接访问构造的payload:/res/js/dev/util_libs/jPlayer/Jplayer.swf?漏洞产生:UXSS是利用浏览器或者浏览器扩展漏洞来制造产生XSS并执行代码的一种攻击类型。在使用edge浏览器访问带有xss脚本的内容时,xss脚本会被过滤。浏览器访问直链地址触发xss,火狐浏览器访问无法触发弹窗。1、创建PDF,加入动作JS。
模拟pdf运行js脚本触发xss攻击及防攻击
跟着互联网
10-09 2791
pdf防xss攻击
xss-dvwa靶场详情
04-06
"XSS(DVWA靶场详情)" 在网络安全领域,XSS(跨站脚本攻击)是一种常见的漏洞类型,主要针对Web应用程序。DVWA(Damn Vulnerable Web Application)是一个专门为安全专业人员和开发人员设计的靶场,用于学习和测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值