הידיעה בנרג' בקושי לכדה את תשומת לבי. מצאו פרצה ב-Acrobat. לא באמת חדש וגם לא בטוח כמה זה מעניין. אלא שקריאה אצל RSnake ו-Jeremiah Grossman לימדה אותי אחרת. לכאורה מדובר בפרצה בקבצי PDF שמאפשרת להריץ מתקפות Cross Site Scripting. איך זה עובד (באדיבות הרשימה של Grossman)?
- מאתרים אתר המכיל קובץ PDF (וכאלה יש בלי סוף).
- בונים קישור לקובץ ובסופו מוסיפים סקריפט זדוני.
- שולחים את הקישור למישהו ואם הוא מריץ את הגרסה המתאימה של Acrobat/דפדפן, הוא נפגע.
מה כלכך מיוחד במתקפה הזו? מתקפות XSS מתרחשות כיוון שהשרת פגיע. השרת אינו מסנן תווים מסוימים ולכן בעת הפעלת הקישור הסקריפט רץ בתחנת המשתמש. במתקפה הזו הסקריפט רץ ישירות בצד המשתמש ולא בצד השרת, כך שגם אתר שאינו חשוף ל-XSS עלול לשמש מחסה למתקפה זו ובעצם הדרישה היחידה היא שיהיה בו קובץ PDF.
RSnake מוסיף שמכיוון שיש קבצי ברירת מחדל בתיקיית ברירת המחדל של Adobe, לא צריך כנראה למצוא אתר בשביל זה אלא ניתן לבנות קישור המבוסס על גישה לתיקייה מקומית. מה שיגרום לסקריפט לרוץ תחת הרשאות המשתמש ויאפשר יכולת פגיעה רבה יותר.
בבלוג זה
בכל הבלוגים
