PDF TO XSS构造实践

最新推荐文章于 2024-01-26 00:03:21 发布
最新推荐文章于 2024-01-26 00:03:21 发布
阅读量443 收藏
点赞数
文章标签: pdf xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/133851844
版权
文章前言

本篇文章我们主要介绍如何在PDF中构造恶意XSS代码并通过上传PDF来实现XSS攻击

构造流程

Step 1:下载安装"迅捷PDF编辑器"

Step  2:创建PDF文件

Step 2:单击左侧的"页面"标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择"页面属性"命令

Step 3:在“页面属性"对话框单击"动作"标签,再从"选择动作"下拉菜单中选择"运行JavaScript"命令,然后单击【添加】按钮,弹出JavaScript 编辑器对话框

Step 4:保存文档,之后使用浏览器打开

技巧拓展

我们可以把PDF文件嵌入到网页中并试运行

<html>
<body>
<object data="test.pdf" width="100%" heigh="100%"type="application/pdf"></object>
</body>
</html>
修复方法

作为网站管理员或开发者可以选择强迫浏览器下载PDF文件,而不是提供在线浏览等或修改Web服务器配置的header和相关属性,也可以使用第三方插件解析pdf,不用chrome自带的pdf解析就行,https://github.com/adobe-type-tools/cmap-resources

FLy_鹏程万里
关注
【漏洞挖掘】——31、PDF TO XSS构造实践
Fly_鹏程万里
03-22 711
本篇文章我们主要介绍如何在PDF构造恶意XSS代码并通过上传PDF来实现XSS攻击。
使用浏览器作为代理从公网攻击内网
neal1991的专栏
04-15 1922
介绍在Forcepoint,我们不断寻求改善我们产品所提供的防护。为此,我们经常研究不寻常或潜在新颖的攻击技术。最近的一个研究课题是从公网发起的针对localhost...
那些年我们一起学XSS.pdf
08-07
相当经典的xss教程,也是我看到的最好的xss教程。 总共21个专题,由浅入深理解xss.
pdfxss文件制作
weixin_66717977的博客
06-30 1792
pdfxss 跨站脚本攻击
PDF XSS
11-13 1845
PDF XSS 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页...
pdf如何xss
yangker12148的博客
11-11 3714
0x00简介 在上传点时,如果上传不了图片格式的文件,可以尝试上传html或者pdf文件来达到xss的效果。上传html就不多说了,下面来说说怎么让pdf弹窗。 0x01步骤 这是原作者的github 环境准备:python3 需要准备poc.py和poc.js poc.py内容 # FROM https://github.com/osnr/horrifying-pdf-experiments import sys from pdfrw import PdfWriter from pdfrw.object
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击...附录G 更快的执行速度——JScript5 to Chakra 309 附录H Chakra的整数存储 310 附录I 安全实践 311 参考资料 315
FindBugs规则整理_中文版.pdf
11-04
当代码使用不受信任的HTTP请求参数构造HTTP Cookie时,可能存在跨站脚本攻击(Cross-Site Scripting, XSS)的风险。应验证和过滤用户输入以保护Cookie的安全性。 4. HRS: HTTP Response splitting vulnerability ...
Javascript 完全手册(PDF).rar
07-09
PDF版本使得读者可以方便地进行电子阅读和检索。 在JavaScript的世界里,你将学习到: 1. **基础语法**:JavaScript的基础包括变量、数据类型(如字符串、数字、布尔值)、操作符(算术、比较、逻辑等)、流程控制...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
xss漏洞讲解.pdf
04-22
xss漏洞讲解.pdf
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
web安全之XSS攻击及防御pdf
08-25
web安全之XSS攻击及防御,
【web安全】PDF写入XSS攻击
weixin_46301214的博客
11-25 1562
一开始研究用现成的PDF编辑器工具写入,发现又要VIP,又比较繁琐。首先打开网站,下发Cookie,然后再到打开PDF反弹Cookie。再模拟黑客用服务器接收Cookie,登录,一条龙。还不如用 Python装一个库,写代码来的快捷。在渗透测试中,能触发弹窗就算是一个漏洞了。这里要注重实战,搭建一个靶场进行实战。所以采用了PyPDF2这个库来写入。
【渗透测试】借助PDF进行XSS漏洞攻击
最新发布
网络安全从业者的学习笔记
01-26 6905
在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其中大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。
pdf xss
yggcwhat
05-10 479
pdf xss
构造XSS语句技巧与绕过方法详解
XSS(Cross-Site Scripting)语句构造是一门涉及网络安全的重要技能,它允许攻击者通过恶意脚本注入用户的浏览器,从而获取敏感信息或者执行未授权...在开发和维护过程中,持续关注并遵循最佳实践是防止XSS攻击的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值