Estoy realizando una evaluación de seguridad en la que una página web tiene campos si los datos ingresados en ellos. El pdf se genera en el backend. ¿Es posible enviar algún texto malicioso que venga en pdf y pueda comprometer al usuario o la máquina backend? es bienvenido.
No, esto no es posible por lo que sé. No puedo pensar en un vector que permita que eso suceda.
Sin embargo, es una regla que TODAS las entradas del usuario se consideren no confiables y se deben validar antes de usarlas. Eso todavía se aplica aquí. Un ejemplo clásico es permitir que se envíen entradas de longitud no restringida (un cliente que no sea navegador no puede ignorar ninguna "restricción" de longitud de HTML) que se genere, lo que provoca un desbordamiento de búfer en el servidor web.
Por lo tanto, siempre desinfecte y valide cualquier entrada al servidor antes de usarlo.
Lea otras preguntas en las etiquetas web-application appsec penetration-test exploit pdf