由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
本文首发于 Web 安全社区:https://web.sqlsec.com/thread/226 (安服仔水洞小姿势 PDF TO XSS 构造实战)转载请注明出处
前言背景
到了甲方可以天天看到各种各样的报告,不得不说现在安全真的很卷啊,为了交差就会出现一些很水的漏洞,比如今天看到的一个 PDF XSS 漏洞:
大体上就是上传文件的 PDF 里面插入了 JS 代码,浏览器直接打开会触发 XSS:
厂商给的修复建议是:
1、禁止使用者用当前使用浏览器访问 PDF 文件(临时解决方案);
2、对上传的 PDF 文件进行扫描,使用 PDF 解析库来分析上传的 PDF 文件的内容。检查是否存在嵌入的 JavaScript 代码,以及其他可疑或危险的元素。
漏洞复现
复现这种漏洞也比较简单,使用专业的 PDF 编辑器 Adobe Acrobat Pro DC:
在页面的属性里面新增「动作」选择「运行 JavaScript」然后插入 JS 即可:
app.alert("XSS Test")
效果展示
最后把这个制作好的 PDF 分享给大家,下次水洞直接上传这个就行了,又一个中危漏洞到手!(公众号回复:XSSPDF 自取 PDF 的下载地址)
★
原文始发于微信公众号(渗透安全团队):干货 | 水洞小姿势PDF到XSS漏洞构造实战
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论