免责声明
本公众号着重分享技术内容,所提供信息旨在促进技术交流。对于因信息使用而引起的任何损失,本公众号及作者概不负责。请谨慎行事,安全至上。
前言
制作xss.pdf
1.双击打开迅捷PDF编辑器。文件-->新建文档-->从空白页
2.显示页面缩略图,视图-->页面缩略图
3.点击缩略图部分,右键属性。
4.插入XSS代码,双击下图最右面的打开页面-->在新弹出的窗口里点击新增-->运行javascript-->写入代码。
try {app.alert("XSS")} catch (e) {app.alert(e.message);}
5.点击文件-->保存,使用电脑自带的浏览器打开,即可弹窗。
文件上传xss.pdf
1.一般有文件上传口的时候,jsp,asp,php等能执行代码的后缀名都禁止上传文件,可以尝试上传插入xss代码的pdf文件。
2.上传成功后,如果有回显,后端也进行了文件的解析,在edge浏览器里可以弹窗(火狐特性不可以)。
点击关注下方名片进入公众号
原文始发于微信公众号(大仙安全说):文件上传&pdf跨站脚本攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论