Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Odczytywanie plików z serwera PDF-em (!)
Interesujący research dotyczący plików PDF, a raczej serwisów które je przetwarzają. Autor wykorzystuje fakt często automatycznej konwersji (po stronie serwerowej) plików PostScript na PDF.
Sam plik PostScript, jak sama nazwa wskazuje jest małym skryptem, który finalnie wyświetla się jako dokument, przykład z Wikipedii:
%!PS /Courier % name the desired font 20 selectfont % choose the size in points and establish % the font as the current one 72 500 moveto % position the current point at % coordinates 72, 500 (the origin is at the % lower-left corner of the page) (Hello world!) show % stroke the text in parentheses showpage % print all on the page
Pliki .ps mogą robić też więcej rzeczy – np. zapisywać / odczytywać dane z plików na filesystemie. Są też przykłady całych web serwerów napisanych jako… „zwykły” plik PostScript.
Scenariusz ataku jest tutaj więc np. taki – uploaduję mój plik .ps który aplikacja konwertuje na PDF. W międzyczasie wykonywany jest kod zapisany w .ps, który odczytuje pliki z serwera i prezentuje je wynikowym pdf-ie. Gotowce w cytowanym researchu.
–ms
Ktoś w dzisiejszych czasach oferuje obsługę poststriptu?
No właśnie – oferuje i to czasem nieświadomie :)
W UK wiekszosc stron z ofertami pracy przy zakladaniu profilu prosi o upload CV/listu i konwertuje z docx na pdf np.