PDF 上传导致存储的 XSS [ProtonMail 安全电子邮件]

在 PDF 文件中进行注入,如果网站没有进行必要的检查,我们就有一个存储的 XSS 漏洞。网上搜索没找到简单的XSS PDF。所以我决定实现一个 JavaScript 。此 JavaScript 将 JavaScript 代码嵌入到 PDF 中,在本例中为 (app.alert(‘/write by : HamidReza Faghani/’))。

这是 JavaScript 代码的片段:

PDF 上传导致存储的 XSS [ProtonMail 安全电子邮件]

创建 PDF 文件后,我将其上传到 Web 应用程序,然后 BOOM…存储的 XSS。

PDF 上传导致存储的 XSS [ProtonMail 安全电子邮件]
PDF 上传导致存储的 XSS [ProtonMail 安全电子邮件]

总之,用户和组织通常不会预见到 PDF 文档中存在恶意脚本。开发人员应在其应用程序中对其 PDF 文件实施强大的安全检查。此外,使用第三方 PDF 文件阅读器的组织应优先考虑使这些组件保持最新。

© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容