Сегодня мы пройдем машину средней сложности с площадки Hack The Box. По дороге ты научишься получать и создавать данные в базе DynamoDB, посмотришь на работу с бакетами Amazon S3 и научишься получать данные через вложение в PDF, используя уязвимость в конвертере PDF4ML.
Цифровая подпись должна гарантировать подлинность и целостность содержимого документа. Ею снабжаются справки на сайте Госуслуг и в личном кабинете налогоплательщика, контракты и счета-фактуры. Если документ изменят, пользователь должен увидеть соответствующее предупреждение. Однако это можно обойти с помощью нескольких хитрых трюков.
Эксперты из Рурского университета в Бохуме описали несколько методов для незаметного изменения содержимого сертифицированных…
Эксперты французского института INRIA сообщают, что правоохранительные органы плохо справляются с очисткой PDF-документов, к…
В сеть выложили пользовательскую базу Nitro PDF, содержащую адреса электронной почты, имена и пароли от 77 000 000 аккаунтов…
Компания-разработчик известного инструмента для работы с PDF, Nitro, допустила утечку данных своих клиентов. В итоге из-за э…
Атака PDFex успешно работает против 27 решений для просмотра PDF, включая такие популярные продукты, как Adobe Acrobat, Foxi…
Проблема была исправлена еще в прошлом году, но многие сайты и веб-приложения по-прежнему уязвимы.
Эксперты компании EdgeSpot предупредили об активной уязвимости нулевого дня в браузере Chrome. Так как патча пока нет, специ…
Специалисты Рурского университета в Бохуме смогли поделать цифровые подписи 21 из 22 приложений для просмотра PDF, а также 5…
Специалисты ESET изучили бэкдор кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучре…
Специалист Google Project Zero обнаружил критическую RCE-уязвимость в составе Ghostscript. Так как данный интерпретатор испо…
Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. Использу…
Исследователь обнаружил, что старая уязвимость, найденная в составе Evince еще в 2011 году, опасна для современных программ …
В популярном приложении для работы с PDF-файлами, Foxit Reader, обнаружили сразу двери критических уязвимости.
В браузере Microsoft Edge обнаружен странный и вместе с тем опасный баг: браузер искажает цифры во время печати файлов.
В PDF есть одна интересная возможность: отправка кросс-доменных запросов с практически любыми заголовками. Это больше напоминает баг, чем фичу, поэтому, скорее всего, окажется запатчено в будущем. Но за этим багом стоит распространенная проблема, так что о нем стоит поговорить подробнее.
Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.
Формат PDF стал очень популярен с развитием интернета и распространением электронной документации, и тем, кто имеет дело с текстами, приходится подбирать инструментарий, чтобы открывать файлы в этом формате и работать с ними. Сторонникам *nix есть из чего выбирать.
Сайт защищен Qrator —
