java 利用上传PDF SSL安全 渗透注入JavaScript 漏洞修复 更加简便

最新推荐文章于 2024-06-02 09:12:06 发布
最新推荐文章于 2024-06-02 09:12:06 发布
阅读量1.2k 收藏
点赞数
文章标签: java pdf ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42161659/article/details/129519621
版权 
import java.io.*;
import java.util.List;
import java.util.Optional;
import java.util.stream.IntStream;

import org.apache.pdfbox.cos.COSObject;
import org.apache.pdfbox.pdmodel.PDDocument;
import org.apache.pdfbox.pdmodel.PDDocumentCatalog;
import org.apache.pdfbox.pdmodel.PDPageTree;
import org.apache.pdfbox.pdmodel.interactive.action.PDAction;
import org.apache.pdfbox.pdmodel.interactive.action.PDActionJavaScript;
import org.apache.pdfbox.pdmodel.interactive.action.PDFormFieldAdditionalActions;
import org.apache.pdfbox.pdmodel.interactive.annotation.PDAnnotationWidget;
import org.apache.pdfbox.pdmodel.interactive.form.PDAcroForm;
import org.apache.pdfbox.pdmodel.interactive.form.PDField;
import org.apache.pdfbox.pdmodel.interactive.form.PDNonTerminalField;
import org.apache.pdfbox.pdmodel.interactive.form.PDTerminalField;

public class PrintJavaScriptFields {

 public static void main(String[] args) throws IOException {
        String inputPath = "C:/Users/acer/Desktop/111.pdf";
       
           File file=new File(inputPath);
            System.out.println(containsJavaScript(file));

       
    }

 /**
     * 校验pdf文件是否包含js脚本
     **/
    public static boolean containsJavaScript(File file) throws IOException {
        PDDocument document = PDDocument.load(file);
        return containsJavaScript(document);
    }

    /**
     * 校验pdf文件是否包含js脚本
     **/
    public static boolean containsJavaScript(InputStream input) throws IOException {
        PDDocument document = PDDocument.load(input);
        return containsJavaScript(document);
    }

    /**
     * 校验pdf文件是否包含js脚本
     **/
    public static boolean containsJavaScript(PDDocument document) {

        try {
            PDPageTree pages = document.getPages();

            for(int  i=0;i< pages.getCount();i++){
                if(pages.get(i).getCOSObject().toString().contains("COSName{JS}")){
                    return true  ;
                }
            }
            return false  ;
        }catch (Exception e){
            System.out.println("PDF效验异常:"+e.getMessage());
        }

        return false;
    }
}

大山是只猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用pdf的js函数漏洞构造堆喷射的攻击思路
学 习 点 滴
08-20 5481
利用pdf的js函数漏洞构造堆喷射的攻击思路         首先声明一下,本人对于漏洞这块也是小菜鸟一个,没研究多久,自己对于漏洞的一些理解也不是很全面。但是研究了一些CVE的分析后,有点收获,所以写了此文章分享自己的思路,也没保证完全是正确的,所以希望大家看后有什么意见可以和我交流,咱们一些学习嘛。 最近研究了下PDF文件的漏洞,有点小发现,所以就整理了一下自己的思路。 经过这几天的研究
CVE-2009-0927: PDF 中的 JS
weixin_50287973的博客
10-22 304
简介 Adobe Re ader 是非常流行的 PDF 文件阅读器,在其 Collab 对象的 getIcon()函数中存在一个缓冲区溢出漏洞。同时由于 PDF 文档中支持内嵌的 JavaScript,攻击者可以通过在 PDF 文档中植入恶意的JavaScript来向getIcon()函数传递特制的参数以触发溢出漏洞,并结合Heap Spray攻击来夺取计算机的控制权。 漏洞原理及利用分析 用od载入acrord32.exe,再打开poc,不能捕获到异常,换成Immunity Debugger才行 将ed
PDF XSS
11-13 1781
PDF XSS 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页...
解决pdf上传判断该是否存在xss脚本攻击
u012189548的博客
12-21 2196
如果是base64文件上传 可以将base64 文件转化成MultipartFile 对象 再进行处理。使用 hutool 工具类可以根据流获取到上传文件的实际文件类型。可以使用pdfbox 进行处理。PdfUtils 工具类。
vulhub中PDF.js 任意JavaScript代码执行漏洞(CVE-2024-4367)
最新发布
yougexiaojiuguan的博客
06-02 901
漏洞复现过程的记录
在线pdf请你谨慎打开
chopper-poet的专栏
02-21 35
本篇其实算之前安全整改话题的一点补充,对之前内容感兴趣的可以走以下快捷通道: 安全漏洞整改系列(二) 安全漏洞整改系列(一) 背景 前不久某家客户对我们提供的系统又进行了一轮安全测试,其中有一条我觉得很有意思,也算是刷新了我的认知,那就是“pdf预览存在xss注入”,在此跟大家分享一波,也算是相互提醒。 复现问题 拿到安全报告以后我随即使用了提供的pdf文件成功复现问题,果不其然一预览浏览器就弹...
PDF-XSS漏洞 详解
m0_73236215的博客
07-10 8463
PDF XSS漏洞是指攻击者通过在PDF文件中插入恶意代码,从而在用户打开PDF文件时执行恶意操作的一种安全漏洞。除了基本的PDF XSS漏洞,还存在一些变种漏洞,下面是关于这些变种漏洞的总结:JavaScript注入:这种变种漏洞利用PDF文件中的JavaScript功能,攻击者可以将恶意的JavaScript代码嵌入到PDF文件中,当用户打开PDF文件时,恶意脚本会被执行。这种漏洞可以用于执行各种恶意操作,如窃取用户的敏感信息、修改用户的数据等。
JAVA检测JS脚本,很强大,佩服!
浪漫鼠
09-06 2724
JAVA检测JS脚本 package com.yonge.validateScript;      import java.io.File;   import java.io.FileReader;   import java.io.IOException;   import java.util.List;      import com.googlecode.jsli
javaWeb安全验证漏洞修复总结.doc
11-29
Java Web 安全验证漏洞修复总结 Java Web 安全验证漏洞修复总结是指在 Java Web 开发中常见的安全漏洞修复和防范方法。本文将详细介绍 Java Web 安全验证漏洞的类型、成因、风险和解决方案。 SQL 注入和盲注 ...
Java安全教程-创建SSL连接和证书Java开发Jav
11-23
Java编程中,安全是至关重要的,特别是在网络通信和数据传输方面。SSL(Secure Sockets Layer)和它的继任者TLS...这个10页的PDF教程,将会深入浅出地介绍这些概念和操作,是Java开发者提高安全技能的宝贵资源。
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
Java JMX Agent 不安全的配置漏洞如何改进 Java JMX(Java Management Extensions)是一种用于监控和管理应用程序的工具,通过使用 JMX Agent,我们可以暴露应用程序的管理和监控接口,从而允许外部管理应用程序的...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
文件上传漏洞部分知识点
c_programj的博客
07-25 1104
文件上传漏洞知识点一、文件上传漏洞1、文件上传漏洞原理2、文件上传漏洞存在前提3、防止文件上传漏洞的方法二、解析漏洞1、IIS解析漏洞2、Apache解析漏洞3、Nginx解析漏洞三、文件上传绕过技巧1、客户端校验(js校验)2、服务端检测2.1 MIME检测绕过(Content-Type检测):2.2 服务端扩展名检测绕过:2.3 服务端文件内容检测四、 修复建议 首先,我们知道SQL注入攻击的对象是数据库,文件上传漏洞对象是web服务;两者结合可以达到对目标的深层控制。 一、文件上传漏洞 1、文件上传
Foxit PDF Reader/Editor 任意代码执行漏洞
OSCS开源安全社区
12-23 573
Foxit PDF Reader/Editor 受影响版本中在对javascript对象执行操作之前未验证对象是否存在,造成内存引用处理不当,导致存在释放后重用漏洞。攻击者可以利用漏洞在当前进程的上下文中执行任意代码。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。升级Foxit PDF Editor到 10.1.8、11.2.2 或更高版本。
工作学习总结-pdf.js的踩坑和运用
时清云的博客
08-31 3396
周末了,终于有这么一整段的时间去总结整理了,这个月很忙,需求很多,年龄不小了,生活中个人的事情也不少。时间是最公平的,因为每个人每天都是过这么长时间,好好珍惜每一分。好了,不感慨了。进入正题吧。 先说一下项目结构:angular5.0 + ionic3.0 这个月做了一个pdf展示的需求,后台小伙伴传过来一个pdf格式的url,这个url长这样: url = ”https://sg.ibs.bai...
使用PDF.js踩坑记~
AlaiaCodeingLife
07-09 4895
想要查看前面的笔记请翻阅我的CSDN博客,作者码字不易,喜欢的话点赞,加个关注吧,后期还有很多干货等着你! 项目场景: 目前遇到需求,需要在pc端打开pdf预览 解决方案: 发现有许多成熟的方案,最终决定使用PDF.js进行开发 首先先在官网下载 http://mozilla.github.io/pdf.js/getting_started/#download 下载完成后目录结构是这样: 我们打开web后点击: 这里有一个坑,我怎么都打不开,结果最后发现是因为需要启动服务才能使用这里我使用的是li
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值