码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift

  • 模拟pdf运行js脚本触发xss攻击及防攻击

    一、引入pdfbox依赖

    1. <dependency>
    2.     <groupId>org.apache.pdfboxgroupId>
    3.     <artifactId>pdfboxartifactId>
    4.     <version>3.0.0version>
    5. dependency>

    二、生成一个带js脚本的pdf文件

    1. //Creating PDF document object
    2. PDDocument document = new PDDocument();
    3.  
    4. //Creating a blank page
    5. PDPage blankPage = new PDPage();
    6.  
    7. //Adding the blank page to the document
    8. document.addPage(blankPage);
    9.  
    10. String javaScript = "app.alert('欢迎关注cms.centyun.com');";
    11.  
    12. //Creating PDActionJavaScript object
    13. PDActionJavaScript PDAjavascript = new PDActionJavaScript(javaScript);
    14.  
    15. //Embedding java script
    16. document.getDocumentCatalog().setOpenAction(PDAjavascript);
    17.  
    18. //Saving the document
    19. document.save("d:\\centyun.pdf");
    20. System.out.println("PDF created");
    21.  
    22. //Closing the document
    23. document.close();

    三、在浏览器中打开pdf文件触发xss攻击

    四、防止pdf的xss攻击

    判断pdf文件中是否包含打开文档就运行的js脚本

    1. /**
    2.  * 校验pdf文件是否包含打开文档就执行的js脚本
    3.  **/
    4. public static boolean containJavaScript(File file) {
    5.     try {
    6.         PDDocument document = Loader.loadPDF(file);
    7.         PDDestinationOrAction openAction = document.getDocumentCatalog().getOpenAction();
    8.         if (openAction != null) {
    9.             String str = openAction.getCOSObject().toString().toLowerCase();
    10.             return str.contains("javascript") || str.contains("cosname{js}");
    11.         }
    12.     } catch (Exception e) {
    13.         log.error(e.getMessage(), e);
    14.     }
    15.     return false;
    16. }

    本文到此结束。

  • 相关阅读:
    大数据可视化python01
    数据库和数据仓库
    【1422. 分割字符串的最大得分】
    数据结构-插入排序Java实现
    【Markdown】编辑器使用技巧大汇总1。CSDN如何使用Markdown编辑器?如何在CSDN中输入数学公式?数学公式中如何输入上标和下标?
    Tomcat相关基础以及安装运行
    [2022 牛客多校2 E] Falfa with Substring (二项式反演 NTT)
    Mac搭建vue环境
    【华为云】用VNC远程连接Ubuntu20.04图形界面
    图计算:基于SparkGrpahX计算聚类系数
  • 原文地址:https://blog.csdn.net/bowei026/article/details/133709048
  • 最新文章
  • 攻防演习之三天拿下官网站群
    数据安全治理学习——前期安全规划和安全管理体系建设
    企业安全 | 企业内一次钓鱼演练准备过程
    内网渗透测试 | Kerberos协议及其部分攻击手法
    0day的产生 | 不懂代码的"代码审计"
    安装scrcpy-client模块av模块异常,环境问题解决方案
    leetcode hot100【LeetCode 279. 完全平方数】java实现
    OpenWrt下安装Mosquitto
    AnatoMask论文汇总
    【AI日记】24.11.01 LangChain、openai api和github copilot
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1
正则表达式工具 cron表达式工具 密码生成工具

京公网安备 11010502049817号