XSS 从 PDF 中窃取数据
将服务器端 XSS 注入到动态生成的 PDF 中
在 hack the box 的 Book 机器(Scripting Track)上,我遇到了一个 Web 应用程序,它使用用户控制的输入来生成 PDF 文件。用户输入输入,下载时该输入将呈现为 PDF 文件。
我从阅读许多文章中意识到与动态生成的 PDF 相关的 XSS 和 SSRF 漏洞,但直到我遇到 Book 机器才自己尝试过。
当我每次单击PDF链接时都看到下载功能生成PDF文件时,我开始再次搜索与此漏洞相关的漏洞赏金文章,以刷新我对如何利用它
标签:XSS,文件,应用程序,JS,SSH,PDF,窃取 From: https://www.cnblogs.com/mt0u/p/18086777