XSS a través de PDF cuando Contenido-Disposición: ¿Inline?

Navega tus respuestas
5

Aquí hay una especie de dos preguntas:

  1. ¿Es posible tener XSS en un archivo PDF cuando la Disposición de contenido: está "en línea"?
  2. Si es posible, ¿el pdf obtiene acceso a las cookies para ese dominio de la misma manera que si fuera un archivo html normal?

Si esto solo es posible con ciertos lectores de archivos pdf y / o navegadores específicos, sería bueno saberlo.

    
pregunta greggles 30.04.2014 - 21:34
fuente

1 respuesta

2

Sí, hubo problemas en esta área con el complemento Adobe Acrobat Reader, simplemente busque en Google "cookie de ataque javascript de Adobe Acrobat Plugin". No estoy seguro de si hay problemas similares con los visores JS integrados o si están diseñados para vivir en un origen separado, de modo que la misma política de origen niegue el acceso. No creo que necesites especificar explícitamente el Content-Disposition: inline .

    
respondido por el Steffen Ullrich 01.05.2014 - 09:42
fuente

Lea otras preguntas en las etiquetas

¿Por qué OAuth2 exige credenciales de cliente en un encabezado de autorización? ¿Qué técnica forense remota podría usarse para descubrir un malware que se ejecuta a través de una inyección de proceso?