本文详细介绍了如何在PDF文件中插入恶意XSS代码,通过上传并在线预览PDF来实施攻击。攻击者利用系统IE浏览器解析PDF的漏洞,当用户预览时触发XSS。文章还提供了构造恶意PDF的步骤,包括使用迅捷PDF编辑器添加JavaScript动作。此外,文章提及了防止此类攻击的方法,如阻止浏览器直接预览PDF,修改服务器配置或使用第三方PDF解析工具。
文章前言
有时候我们在做渗透测试的时候会发现目标网站允许上传PDF文件,同时支持在线预览PDF文件,然而不少类似的网站都会直接通过调用系统IE浏览器来解析PDF,此时如果我们在PDF中插入可以执行的恶意XSS代码,当用户在线预览时即可触发恶意XSS并窃取用户Cookie等数据信息或进行恶意操作,本篇文章我们主要介绍如何在PDF中构造恶意XSS代码并通过上传PDF来实现XSS攻击
构造流程
Step 1:下载安装"迅捷PDF编辑器"
Step 2:创建PDF文件
Step 2:单击左侧的"页面"标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择"页面属性"命令
Step 3:在“页面属性"对话框单击"动作"标签,再从"选择动作"下拉菜单中选择"运行JavaScript"命令,然后单击【添加】按钮,弹出JavaScript 编辑器对话框
Step 4:保存文档,之后使用浏览器打开
技巧拓展
我们可以把PDF文件嵌入到网页中并试运行
<html><body><object data="test.pdf" width="100%" heigh="100%"type="application/pdf"></object></body></html>
修复方法
作为网站管理员或开发者可以选择强迫浏览器下载PDF文件,而不是提供在线浏览等或修改Web服务器配置的header和相关属性,也可以使用第三方插件解析pdf,不用chrome自带的pdf解析就行,https://github.com/adobe-type-tools/cmap-resources
632
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
