利用PDF文件执行 xss

前言

现在web安全渗透越来越难了，很多平台直接白名单限制文件上传，相较于以前的双写、大小写、%00截断等很多方法都没有办法很好的绕过

面对这样的情况，只能尝试上传pdf等文档文件，配合xss进行测试，虽然很鸡肋，但也是没有办法的办法

复现

这里我们使用的pdf编辑工具是：PDFXEdit

输入javascript脚本：

app.alert("打开弹窗");

当然也可以使用html代码进行xss

<html>
<body>
<object data="test.pdf" width="100%" heigh="100%" type="Application/pdf"></object>
</body>
</html>

效果相同

修复建议

1.作为网站管理员或开发者，可以选择强迫浏览器下载 PDF 文件，而不是提供在线浏览等，或修改 Web 服务器配置的 header 和相关属性

2.使用第三方插件解析pdf，不用chrome自带的pdf解析就行，http://github.com/adobe-type-tools/cmap-resources