Коментарі для запису: Універсальна XSS в PDF http://websecurity.com.ua/558/ Mon, 13 Apr 2026 00:00:33 +0000 http://wordpress.org/?v=MustLive Edition від: trovich http://websecurity.com.ua/558/#comment-7536 Wed, 24 Jan 2007 18:01:36 +0000 http://websecurity.com.ua/558/#comment-7536 DiGiTAL: ти ше звідки вилізло, таке розумне? DiGiTAL: ти ше звідки вилізло, таке розумне?

]]> від: DiGiTAL http://websecurity.com.ua/558/#comment-7505 Wed, 24 Jan 2007 03:56:40 +0000 http://websecurity.com.ua/558/#comment-7505 БАЯН БАЯН

]]> від: MustLive http://websecurity.com.ua/558/#comment-6732 Tue, 16 Jan 2007 12:06:58 +0000 http://websecurity.com.ua/558/#comment-6732 <strong>trovich</strong>, в цій статті про Універсальну XSS в PDF я не все розповів (вже і так вийшла чимала стаття), і я ще окремо розповім про напад через цю диру на локальний ПК користувача. Плюс ще варто пам'ятати, про що можна прочитати на сайті Адоба (та деякі секюріті сайти писали про це в новинах), лінку на який я дав в додатковій інформації, що окрім UXSS багу, також є інший баг (ще більш серйозний), який дозволяє захопити контроль над комп'ютером жертви. Стосовно наявності самого Акробата, то я мав наувазі, що треба, щоб не було підключених акробат плагінів до браузерів (або їх треба пропатчити, або оновити до 8ї версії). А також я ще додатково розповім про інші загрози від UXSS, окрім вже згаданих в цій статті. trovich, в цій статті про Універсальну XSS в PDF я не все розповів (вже і так вийшла чимала стаття), і я ще окремо розповім про напад через цю диру на локальний ПК користувача.

Плюс ще варто пам’ятати, про що можна прочитати на сайті Адоба (та деякі секюріті сайти писали про це в новинах), лінку на який я дав в додатковій інформації, що окрім UXSS багу, також є інший баг (ще більш серйозний), який дозволяє захопити контроль над комп’ютером жертви.

Стосовно наявності самого Акробата, то я мав наувазі, що треба, щоб не було підключених акробат плагінів до браузерів (або їх треба пропатчити, або оновити до 8ї версії). А також я ще додатково розповім про інші загрози від UXSS, окрім вже згаданих в цій статті.

]]> від: trovich http://websecurity.com.ua/558/#comment-6674 Sun, 14 Jan 2007 21:35:44 +0000 http://websecurity.com.ua/558/#comment-6674 В чому небезпека присутності Акробата в системі взагалі? Я їм інколи роблю PDF-ки, але ніколи не читаю. В чому небезпека присутності Акробата в системі взагалі? Я їм інколи роблю PDF-ки, але ніколи не читаю.

]]> від: MustLive http://websecurity.com.ua/558/#comment-6673 Sun, 14 Jan 2007 21:13:21 +0000 http://websecurity.com.ua/558/#comment-6673 Бачиш в тебе все добре в цьому відношенн, trovich. Бо використовуєш Foxit PDF (в цьому випадку головне щоб Акробата не було зовсім в системі і як мінімум щоб до жодного браузера він не був підключений). <blockquote>Тим не менш, цікаво, як можна якось виконати 4-й пункт для файлів, котрі роздаються напряму, не через скрипт.</blockquote> Файли pdf фожна віддавати як через скрипт, так і напряму, через настройки Апача (в .htaccess). На сайтах вказаних в додатковій інформації наводяться приклади. Причому не тільки варіант зі скриптом обробником pdf-ок (це поширений підхід), а можно просто додати потрібні налаштування заголовків в .htaccess, щоб сервер віддавав файли як слід. Також настроювання Апача м.б. використані для редирекції та у випадку винесення pdf-ок на інший домен, але в цьому випадку можливі деякі нюанси, які можуть дозволити обійти фільтри. Тому найкращий варіант - це встановлення заголовка сервера. Бачиш в тебе все добре в цьому відношенн, trovich. Бо використовуєш Foxit PDF (в цьому випадку головне щоб Акробата не було зовсім в системі і як мінімум щоб до жодного браузера він не був підключений).

Тим не менш, цікаво, як можна якось виконати 4-й пункт для файлів, котрі роздаються напряму, не через скрипт.

Файли pdf фожна віддавати як через скрипт, так і напряму, через настройки Апача (в .htaccess). На сайтах вказаних в додатковій інформації наводяться приклади. Причому не тільки варіант зі скриптом обробником pdf-ок (це поширений підхід), а можно просто додати потрібні налаштування заголовків в .htaccess, щоб сервер віддавав файли як слід.

Також настроювання Апача м.б. використані для редирекції та у випадку винесення pdf-ок на інший домен, але в цьому випадку можливі деякі нюанси, які можуть дозволити обійти фільтри. Тому найкращий варіант - це встановлення заголовка сервера.

]]> від: trovich http://websecurity.com.ua/558/#comment-6669 Sun, 14 Jan 2007 19:29:27 +0000 http://websecurity.com.ua/558/#comment-6669 "Users with Foxit PDF viewer are not vulnerable to this; at least those without the JavaScript plugin installed (the default). So those who learn’t last time round should be ok." Хех, маю саме його ;) “Users with Foxit PDF viewer are not vulnerable to this; at least those without the JavaScript plugin installed (the default). So those who learn’t last time round should be ok.”
Хех, маю саме його ;)

]]> від: trovich http://websecurity.com.ua/558/#comment-6668 Sun, 14 Jan 2007 19:11:32 +0000 http://websecurity.com.ua/558/#comment-6668 Терпіти не можу читати PDF у браузері. Всюди стоїть у налаштуваннях одразу пропонувати зберегти файл на диск. Тому для мене проблеми немає. Тим не менш, цікаво, як можна якось виконати 4-й пункт для файлів, котрі роздаються напряму, не через скрипт. Засобами Apache, чи що. Бачу такий спосіб: можна в .htaccess "ловити" звернення і завертати на скрипт, котрий вже віддаватиме файл із хедером. Терпіти не можу читати PDF у браузері. Всюди стоїть у налаштуваннях одразу пропонувати зберегти файл на диск. Тому для мене проблеми немає.
Тим не менш, цікаво, як можна якось виконати 4-й пункт для файлів, котрі роздаються напряму, не через скрипт. Засобами Apache, чи що. Бачу такий спосіб: можна в .htaccess “ловити” звернення і завертати на скрипт, котрий вже віддаватиме файл із хедером.

]]>