Explotar entradas de usuario que se insertan directamente en PDF

Navega tus respuestas
3

Estoy probando una aplicación web donde la entrada del usuario se inserta directamente en un archivo PDF que luego se puede descargar.

La entrada del usuario se acepta tal como está, sin codificación o cualquier otra modificación. Este comportamiento suele ser explotable. Por ejemplo, con archivos csv podría inyectar fórmulas . En las aplicaciones web, esto obviamente abre XSS.

¿Hay algún vector de ataque para archivos PDF o el generador de PDF en segundo plano con información del usuario sin filtro?

    
pregunta GarlicCheese 17.07.2018 - 13:16
fuente

1 respuesta

-1

Lo que debes preocuparte es

  1. Si el sitio web desinfecta la entrada del usuario. Por lo tanto, en el caso de XSS, el código malicioso no se inyectará.

  2. Reputación de los servicios web que generan el archivo PDF. El código de vulnerabilidad del lector Acrobat siempre se puede inyectar en el archivo PDF.

Esto es mejor que preocuparse que aprender todo tipo de Objeto PDF que puede ser explotado por un atacante.

    
respondido por el mootmoot 17.07.2018 - 13:58
fuente

Lea otras preguntas en las etiquetas

Bases de datos distintas con el mismo servidor de autenticación Kerberos [cerrado] ¿Se excluyen mutuamente la privacidad y la seguridad?