java解决PDF中的XSS攻击

最新推荐文章于 2024-07-22 21:45:00 发布
最新推荐文章于 2024-07-22 21:45:00 发布
阅读量616 收藏 3
点赞数 1
文章标签: java pdf xss 开发语言 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwtwbb/article/details/136230176
版权

1、依赖

<dependency>
      <groupId>org.apache.pdfbox</groupId>
      <artifactId>pdfbox</artifactId>
      <version>2.0.26</version>
</dependency>

2、

public String uploadFile(MultipartFile file) throws Exception
    {
        if(file.getContentType().equals(MediaType.APPLICATION_PDF_VALUE) &&
                FileUtils.containsJavaScript(FileUtils.multipartFileToFile(file))){
            throw new CustomException("所上传文件可能具有XSS攻击,请重新上传安全文件!");
        }
        String name = FileUploadUtils.upload(localFilePath, file);
        return name;
    }

   /**
     * File转MultipartFile
     * @param file 文件对象
     * @return Multipart文件对象
     */
    public static File multipartFileToFile(MultipartFile mulFile) throws IOException {
        InputStream ins = mulFile.getInputStream();
        String fileName = mulFile.getOriginalFilename();
        String prefix = getFileNameNoSuffix(fileName) + UUID.randomUUID().toString();
        String suffix = "." + getSuffixNameName(fileName);
        File toFile = File.createTempFile(prefix, suffix);
        OutputStream os = new FileOutputStream(toFile);
        int bytesRead = 0;
        byte[] buffer = new byte[8192];
        while ((bytesRead = ins.read(buffer, 0, 8192)) != -1) {
            os.write(buffer, 0, bytesRead);
        }
        os.close();
        ins.close();
        return toFile;
    }

   /**
     * 获取不带扩展名的文件名
     */
    public static String getFileNameNoSuffix(String filename) {
        if ((filename != null) && (filename.length() > 0)) {
            int dot = filename.lastIndexOf('.');
            if ((dot > -1) && (dot < (filename.length()))) {
                return filename.substring(0, dot);
            }
        }
        return filename;
    }

    /**
     * 获取文件扩展名
     */
    public static String getSuffixNameName(String filename) {
        if ((filename != null) && (filename.length() > 0)) {
            int dot = filename.lastIndexOf('.');
            if ((dot > -1) && (dot < (filename.length() - 1))) {
                return filename.substring(dot + 1);
            }
        }
        return filename;
    }

    /**
     * 校验pdf文件是否包含js脚本
     **/
    public static boolean containsJavaScript(File file) throws IOException {
        RandomAccessFile is = new RandomAccessFile(file, "r");
        try{
            PDFParser parser = new PDFParser(is);
            parser.parse();
            PDDocument doc = parser.getPDDocument();
            String CosName = doc.getDocument().getTrailer().toString();
            if(CosName.contains("COSName{JS}")){
                return true;
            }
        }catch (Exception e){
            System.out.println("PDF效验异常:"+e.getMessage());
        }finally {
            is.close();
        }
        return false;
    }
    /**
     * File转MultipartFile
     * @param file 文件对象
     * @return Multipart文件对象
     */
    public static MultipartFile getMultipartFile(File file) {
        FileItem item = new DiskFileItemFactory().createItem("file"
                , MediaType.MULTIPART_FORM_DATA_VALUE
                , true
                , file.getName());
        try (InputStream input = new FileInputStream(file);
             OutputStream os = item.getOutputStream()) {
            // 流转移
            IOUtils.copy(input, os);
        } catch (Exception e) {
            throw new IllegalArgumentException("Invalid file: " + e, e);
        }

        return new CommonsMultipartFile(item);
    }
蓝色土耳其love
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《WEB安全渗透测试》(22)pdf文件预览安全吗?
午夜安全
04-16 3084
《WEB安全渗透测试》(22)利用pdf文件弹XSS 众所周知,我们可以通过上传html文件来执行xss,但是如果禁止了html等恶意文件,只允许上传png、jpg、gif、pdf等文件,很多人可能直接忽略了,以为它是安全的,那就大错特错了。首先我们需要制作一个恶意的pdf文件,随便使用一个pdf编辑器,新建空白页面。然后选缩略图,点击属性,此时在右侧可以看到属性栏,点击动作打开页面,之后再新建运行JavaScript。在弹出的“JavaScript 编辑器”对话框输入以下代码,然后保存文件:.....
PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
利用文档工具检测PDF的恶意Javascript
12-20
利用文档工具检测PDF的恶意Javascript文档详细介绍了如何利用文档工具检测pdf的恶意JavaScript
解决上传文件的PDF-XSS攻击
最新发布
李洪亮的博客
07-22 521
【代码】解决上传文件的PDF-XSS攻击
PDF-XSS漏洞 详解
m0_73236215的博客
07-10 9262
PDF XSS漏洞是指攻击者通过在PDF文件插入恶意代码,从而在用户打开PDF文件时执行恶意操作的一种安全漏洞。除了基本的PDF XSS漏洞,还存在一些变种漏洞,下面是关于这些变种漏洞的总结:JavaScript注入:这种变种漏洞利用PDF文件JavaScript功能,攻击者可以将恶意的JavaScript代码嵌入到PDF文件,当用户打开PDF文件时,恶意脚本会被执行。这种漏洞可以用于执行各种恶意操作,如窃取用户的敏感信息、修改用户的数据等。
【渗透测试】借助PDF进行XSS漏洞攻击
网络安全从业者的学习笔记
01-26 5495
在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而不是在网页。 SpringBoot是一个流行的Java Web开发框架,提供了丰富的安全组件。XSSFilter是用于过滤HTTP请求可能存在的XSS攻击的一种机制。在...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
XSS跨站脚本攻击在Java开发防范的方法
01-09
针对XSS攻击,在Java Web应用开发可以采取多种措施进行防御,以确保应用程序的安全性。 ##### 输入验证 - **参数过滤**:对用户提交的所有数据进行严格的过滤,防止特殊字符和潜在的恶意脚本注入。 - **编码转换*...
java实现pdf上传,下载,在线预览,删除,修改等功能
12-24
确保上传的PDF文件不会导致代码注入,预览时防止跨站脚本攻击(XSS),并限制对敏感PDF文件的访问。使用最新的库和框架以减少已知的安全漏洞。 8. **性能优化**: 对于大量PDF操作,要考虑性能优化。比如,缓存预览...
PDF XSS
Restart的博客
01-19 4951
本文转载自https://www.cnblogs.com/xiaozi/p/9951622.html 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页面缩略图,然后从选项下拉菜单选择“页面属性”命令 选择“页面属性”命令 3、在“页面
渗透测试-pdf文件上传-XSS
热门推荐
cdyunaq的博客
01-06 1万+
前言 pdf是portable document format的缩写,是目前广泛应用于各种场合的文件格式,其是由Adobe公司根据Postscript语言修改后提出的文件标准,并且被ISO组织接受,目前已经发展到2.0版本(ISO32000-2)。 目前广泛使用的是1.7版本,该版本pdf功能已经相当丰富,可以显示3D模型,播放多媒体音视频,执行Javascript脚本等功能。 PDFJavaScript利用 Pdf文件是应用广泛的一种文件格式,很多针对Adobe阅读器的CVE漏洞都是通过pdf
XSS漏洞之PDF生成:从XSS到服务端任意文件读取
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 2955
XSS是最为常见的Web漏洞之一,多年来连续入选OWASP TOP10,相信大家都耳熟能详。 它是一种代码注入类的攻击,是一种客户端侧的攻击,攻击者通过在Web应用注入恶意JavaScript代码,通过点击URL,最终在受害者浏览器端执行的一种漏洞。主要有反射型XSS、存储型XSS、基于DOM的XSS三类。XSS一些比较常规的危害大概有:重定向浏览器、窃取Cookie、浏览器劫持等。本文章侧重于发现XSS后的进一步利用。 主要介绍在某次实际测试过程,发现XSS漏洞之后,如何进一步的利用,最终通过XSS
pdf如何xss
yangker12148的博客
11-11 3661
0x00简介 在上传点时,如果上传不了图片格式的文件,可以尝试上传html或者pdf文件来达到xss的效果。上传html就不多说了,下面来说说怎么让pdf弹窗。 0x01步骤 这是原作者的github 环境准备:python3 需要准备poc.py和poc.js poc.py内容 # FROM https://github.com/osnr/horrifying-pdf-experiments import sys from pdfrw import PdfWriter from pdfrw.object
PDF TO XSS构造实践
Fly_鹏程万里
10-16 366
本篇文章我们主要介绍如何在PDF构造恶意XSS代码并通过上传PDF来实现XSS攻击
解决pdf上传判断该是否存在xss脚本攻击
u012189548的博客
12-21 2581
如果是base64文件上传 可以将base64 文件转化成MultipartFile 对象 再进行处理。使用 hutool 工具类可以根据流获取到上传文件的实际文件类型。可以使用pdfbox 进行处理。PdfUtils 工具类。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值