在 PDF 文件中进行注入,如果网站没有进行必要的检查,我们就有一个存储的 XSS 漏洞。网上搜索没找到简单的XSS PDF。所以我决定实现一个 JavaScript 。此 JavaScript 将 JavaScript 代码嵌入到 PDF 中,在本例中为 (app.alert(‘/write by : HamidReza Faghani/’))。
这是 JavaScript 代码的片段:
创建 PDF 文件后,我将其上传到 Web 应用程序,然后 BOOM…存储的 XSS。
总之,用户和组织通常不会预见到 PDF 文档中存在恶意脚本。开发人员应在其应用程序中对其 PDF 文件实施强大的安全检查。此外,使用第三方 PDF 文件阅读器的组织应优先考虑使这些组件保持最新。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容