Encuentra usuarios de Twitter en tu ciudad con LocaFollow

votarXSS en pdf

Autor: gacuj | Archivado en: General, Internet, Seguridad el día 4/Ene/2007

Esto de la inseguridad avanza a pasos agigantados. Ya no estamos seguros ni con los hasta ahora eran la panacea de la seguridad, los pdfs. Se acaba de descubrir una vulnerabilidad que permite realizar ataques XSS sobre pdfs a través del navegador web y siempre mediante el plugin que éste incorpora para las versiones 6 y 7.
Pero antes de seguir un ejemplo: Añadan #FDF=javascript:alert(’Ejemplo de ataque XSS’) a una URL que contenga un pdf (no digo uno en concreto para no molestar a nadie) y comprueben.
Más ejemplos de qué se puede hacer en wisec.

¿Qué hacer?

1.- Desde el punto de vista del usuario. Descargar el plugin de la 8.
2.- Desde el punto de vista del webmaster en kriptopolis nos dan una solución para obligar a descargar el pdf y no abrirlo desde el navegador:
SetEnvIf Request_URI “\.pdf$” requested_pdf=pdf
Header add Content-Disposition “Attachment” env=requested_pdf

  • Digg
  • del.icio.us
  • Facebook
  • Google
  • LinkedIn
  • Meneame
  • MySpace
  • Technorati
  • TwitThis
Posts Relacionados
  • No related posts

2 Comentarios on “XSS en pdf”

  1. #1 eMe dijo 1:59 pm el Enero 4th, 2007:

    Muy interesante y muy gráfico Gacuj! :P

  2. #2 Agustin martinez dijo 10:03 pm el Enero 6th, 2007:

    Muy bueno el articulo. Me abrio el panorama.
    Gracias.
    Diseño web españa

Deja un comentario.