【漏洞挖掘】——31、PDF TO XSS构造实践

已于 2024-06-05 13:18:53 修改
阅读量699 收藏 1
点赞数
分类专栏: 【WEB渗透】 文章标签: xss 渗透测试 信息安全 网络安全
于 2018-03-22 18:31:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/79657984
版权
【WEB渗透】 专栏收录该内容
207 篇文章 13 订阅 ¥99.90 ¥299.90
订阅专栏
本文详述了如何利用迅捷PDF编辑器在PDF中植入恶意XSS代码,通过上传PDF实现攻击。步骤包括下载编辑器、创建PDF、设置页面属性运行JavaScript。技巧拓展提及将PDF嵌入网页测试,并提供了针对XSS攻击的防御措施,如改变浏览器行为或调整服务器配置。
摘要由CSDN通过智能技术生成
文章前言

本篇文章我们主要介绍如何在PDF中构造恶意XSS代码并通过上传PDF来实现XSS攻击

构造流程

Step 1:下载安装"迅捷PDF编辑器"

Step  2:创建PDF文件

Step 2:单击左侧的"页面"标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择"页面属性"命令

Step 3:在“页面属性"对话框单击"动作"标签,再从"选择动作"下拉菜单中选择"运行JavaScript"命令,然后单击【添加】按钮,弹出JavaScript 编辑器对话框

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
专栏目录
订阅专栏
漏洞挖掘】——20、RFD漏洞介绍挖掘
Fly_鹏程万里
03-03 2056
RFD(Reflected File Download)即反射型文件下载漏洞,2014年在BlackHat中被提出,该漏洞在原理上类似XSS,在危害上类似DDE,攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC,不过这个漏洞很罕见,大多数公司会认为它是一个需要结合社工的低危漏洞,但微软,雅虎,eBay,PayPal和其他许多公司认为这是一个中危漏洞。
解决上传文件PDF-XSS攻击
最新发布
李洪亮的博客
07-22 945
【代码】解决上传文件PDF-XSS攻击。
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
关于pdf文件xss攻击问题,配置xssFilter方法
u011071941的博客
12-21 2535
【代码】关于pdf文件xss攻击问题,配置xssFilter方法。
PDF XSS
11-13 1835
PDF XSS 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页...
pdf如何xss
yangker12148的博客
11-11 3702
0x00简介 在上传点时,如果上传不了图片格式的文件,可以尝试上传html或者pdf文件来达到xss的效果。上传html就不多说了,下面来说说怎么让pdf弹窗。 0x01步骤 这是原作者的github 环境准备:python3 需要准备poc.py和poc.js poc.py内容 # FROM https://github.com/osnr/horrifying-pdf-experiments import sys from pdfrw import PdfWriter from pdfrw.object
解决pdf上传判断该是否存在xss脚本攻击
u012189548的博客
12-21 2960
如果是base64文件上传 可以将base64 文件转化成MultipartFile 对象 再进行处理。使用 hutool 工具类可以根据流获取到上传文件的实际文件类型。可以使用pdfbox 进行处理PdfUtils 工具类。
细说漏洞挖掘
bluemoon_0的博客
03-14 260
细说漏洞挖掘
【Web安全】XSS Attacks 跨站脚本攻击
IN THE ZONE
07-06 909
XSS XSS XSS
PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
起而行动,方能平定心中的惶恐
04-07 6379
Java项目-上传文件-解决PDF文件XSS攻击
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
java解决PDF中的XSS攻击
zwtwbb的专栏
02-05 728
1、依赖 <dependency> <groupId>org.apache.pdfbox</groupId> <artifactId>pdfbox</artifactId> <version>2.0.26</version> </dependency> 2、 ...
PDF-XSS漏洞 详解
热门推荐
m0_73236215的博客
07-10 1万+
PDF XSS漏洞是指攻击者通过在PDF文件中插入恶意代码,从而在用户打开PDF文件时执行恶意操作的一种安全漏洞。除了基本的PDF XSS漏洞,还存在一些变种漏洞,下面是关于这些变种漏洞的总结:JavaScript注入:这种变种漏洞利用PDF文件中的JavaScript功能,攻击者可以将恶意的JavaScript代码嵌入到PDF文件中,当用户打开PDF文件时,恶意脚本会被执行。这种漏洞可以用于执行各种恶意操作,如窃取用户的敏感信息、修改用户的数据等。
xss——pdfxss,mxss,uxss,flashxss
2303_79592445的博客
03-10 532
这个是白盒,如果是黑盒就从数据包看看有没有加载swf文件,然后直接下载下来。然后在访问这个上传地址,就会触发xss(当我们上传上去,然后再发给别人)uxss(但是需要很低的版本才可以使用)(但是csdn也会有过滤)里面有自身编写的语言,所有可以使用sdf来调用js代码来实施跨站。测试的时候可以去不断的测试它的所有功能,看也没有触发跨站。搜索这个跨站语句,然后用翻译功能,它会触发跨站、发现是这么调用的(发现是他是传参用的)找到它发现是乱码,因为他是视频内容。我们可以将这个pdf上传这个地方(
XSS二-WEB攻防-XSS跨站&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本
zyw268的博客
03-23 140
SVG&PDF&SWF-XSS&上传&反编译。
渗透测试】借助PDF进行XSS漏洞攻击
网络安全从业者的学习笔记
01-26 6612
在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其中大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。
PDF TO XSS构造实践
Fly_鹏程万里
10-16 433
本篇文章我们主要介绍如何在PDF构造恶意XSS代码并通过上传PDF来实现XSS攻击。
XSS漏洞之PDF生成:从XSS到服务端任意文件读取
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 3030
XSS是最为常见的Web漏洞之一,多年来连续入选OWASP TOP10,相信大家都耳熟能详。 它是一种代码注入类的攻击,是一种客户端侧的攻击,攻击者通过在Web应用中注入恶意JavaScript代码,通过点击URL,最终在受害者浏览器端执行的一种漏洞。主要有反射型XSS、存储型XSS、基于DOM的XSS三类。XSS一些比较常规的危害大概有:重定向浏览器、窃取Cookie、浏览器劫持等。本文章侧重于发现XSS后的进一步利用。 主要介绍在某次实际测试过程中,发现XSS漏洞之后,如何进一步的利用,最终通过XSS
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值