本文首发于 Web 安全社区:https://web.sqlsec.com/thread/226 (安服仔水洞小姿势 PDF TO XSS 构造实战)转载请注明出处
前言背景
到了甲方可以天天看到各种各样的报告,不得不说现在安全真的很卷啊,为了交差就会出现一些很水的漏洞,比如今天看到的一个 PDF XSS 漏洞:
大体上就是上传文件的 PDF 里面插入了 JS 代码,浏览器直接打开会触发 XSS:
厂商给的修复建议是:
1、禁止使用者用当前使用浏览器访问 PDF 文件(临时解决方案);
2、对上传的 PDF 文件进行扫描,使用 PDF 解析库来分析上传的 PDF 文件的内容。检查是否存在嵌入的 JavaScript 代码,以及其他可疑或危险的元素。
漏洞复现
复现这种漏洞也比较简单,使用专业的 PDF 编辑器 Adobe Acrobat Pro DC:
在页面的属性里面新增「动作」选择「运行 JavaScript」然后插入 JS 即可:
app.alert("XSS Test")
效果展示
最后把这个制作好的 PDF 分享给大家,下次水洞直接上传这个就行了,又一个中危漏洞到手!(公众号回复:XSSPDF 自取 PDF 的下载地址)
原文始发于微信公众号(安全小姿势):水洞小姿势系列 - PDF TO XSS 构造实战
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论