PDF XSS
漏洞测试:
下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本
1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。
2、单击左侧的“页面”标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择“页面属性”命令
选择“页面属性”命令
3、在“页面属性”对话框单击“动作”标签,再从“选择动作”下拉菜单中选择“运行 JavaScript”命令,然后单击【添加】按钮,弹出 JavaScript 编辑器对话框
填写 JavaScript 代码
4、在弹出的“JavaScript 编辑器”对话框中输入代码:
app.alert(‘XSS’);
单击【确定】按钮保存 PDF 文件。
这里需要注意的是:Adobe 支持自身的 JavaScript 对象模型,例如 alert(‘xss’)必须被 APP 对象调用,因此变成了 app.alert(‘xss’)。这意味着,利用 JavaScript 进行攻击时只能使用 Adobe 所支持的功能。
5、关闭软件,直接打开刚才保存的 PDF 文件,JavaScript 代码即被执行。经过测试最新版本的 360 浏览器和谷歌浏览器支持
现在,尝试把 PDF 文件嵌入到网页中并试运行。创建一个 HTML 文档,代码如下:
<html> <body> <object data="test.pdf" width="100%" heigh="100%" type="application/pdf"></object> </body> </html>
除了把 JavaScript 嵌入 PDF 文件中执行,还可以利用基于 DOM 的方法执行 PDF XSS。此类方法由 Stefano Di Paola 和 Giorgio Fedon 在第 23 届 CCC 安全会议中提出,大家可以参考论文 Adobe Acrobat。
Stefano Di Paola 把 PDF 中的 DOM XSS 称为 UXSS(Universal Cross-Site Scripting)。事实上,任何支持 PDF 文件的网站都可能存在这种漏洞。
修复方法
而作为网站管理员或开发者,可以选择强迫浏览器下载 PDF 文件,而不是提供在线浏览等,或修改 Web 服务器配置的 header 和相关属性。
可以使用第三方插件解析pdf,不用chrome自带的pdf解析就行,https://github.com/adobe-type-tools/cmap-resources
参考链接:
https://www.t00ls.net/thread-48480-1-1.html
https://blog.xss.lc/experience-sharing/71.html
推荐阅读
-
有限单元法编程与软件应用(崔继东、沈学龙) [PDF 下载
-
[精选] 2023 年消费者趋势洞察报告 PDF 收藏分享(附原始数据表)
-
专题】中国消费市场技术生态白皮书报告 PDF 收藏分享(附原始数据表)
-
[专题] 中国青少年价值观与内容消费研究报告 PDF 收藏分享(附原始数据表)
-
PHP 跨站脚本攻击 (XSS) 漏洞修复思路 (II)
-
数据结构问题集(C语言版)电子书下载 -(百度网盘高清版PDF格式)
-
c 语言可以这样学 pdf - Nuggets
-
jsPDF + html2canvas + Vue3 + ts 项目,逐页导出当前页面为 PDF,A 页导出 B 页内容为 PDF,隐藏导出按钮等多余元素。
-
一键式 PDF 水印工具 - 优势
-
前端安全保护实践:XSS、CSRF 防御和同源策略详情(反应案例)