Odczytywanie plików z serwera PDF-em (!)

14 kwietnia 2017, 15:16 | W biegu | komentarze 3
Tagi: , , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Interesujący research dotyczący plików PDF, a raczej serwisów które je przetwarzają. Autor wykorzystuje fakt często automatycznej konwersji (po stronie serwerowej) plików PostScript na PDF.

Sam plik PostScript, jak sama nazwa wskazuje jest małym skryptem, który finalnie wyświetla się jako dokument, przykład z Wikipedii:

Pliki .ps mogą robić też więcej rzeczy – np. zapisywać / odczytywać dane z plików na filesystemie.  Są też przykłady całych web serwerów napisanych jako… „zwykły” plik PostScript.

Scenariusz ataku jest tutaj więc np. taki – uploaduję mój plik .ps który aplikacja konwertuje na PDF. W międzyczasie wykonywany jest kod zapisany w .ps, który odczytuje pliki z serwera i prezentuje je wynikowym pdf-ie. Gotowce w cytowanym researchu.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Taśtaś

    Ktoś w dzisiejszych czasach oferuje obsługę poststriptu?

    Odpowiedz
    • No właśnie – oferuje i to czasem nieświadomie :)

      Odpowiedz
    • 100% Arki we Wrzeszczu.

      W UK wiekszosc stron z ofertami pracy przy zakladaniu profilu prosi o upload CV/listu i konwertuje z docx na pdf np.

      Odpowiedz

Odpowiedz

Time limit is exhausted. Please reload CAPTCHA.