Перейти к публикации

Безопасность скрипта и PDF формат


Рекомендованные сообщения

В скрипте осуществлена возможность прикреплять PDF файлы к новостям. Это очень удобно и правильно.

Теперь по существу: у меня сайт расположен у хостера мастерхост, периодически он проверяет своими средствами сайт на возможные уязвимости, делает это грамотно и претензи нет, потом присылает отчёт.

В полседнюю проверку я получил следующее:

Описание

Ошибка в расширении Adobe Reader для популярных браузеров может использоваться для проведения атак типа "Межсайтовый скриптиг" против любого Web-сервера, на котором расположены документы в формате PDF. Злоумышленник может заставить пользователя перейти по специально сформированной ссылке, что приведет к выполнению кода в контексте безопасности сайта, на котором расположен документ PDF.

Пример запроса:

http://site/file.pdf#filed=java script:alert()

Решение

Возможны различные варианты решения. Файлы PDF могут быть удалены с сайта или перемещены в архивные файлы. Ещё одним вариантом является замена заголовка Content-Type в ответе сервера или добавления заголовка

Content-Disposition: attachment

В Web-сервере Apache для этого можно использовать следующие строки в httpd.conf:

Header unset Content-Disposition

Header add Content-Disposition "attachment"

Клиенты должны установить Adobe Reader 8 и выше:

http://www.adobe.com/products/acrobat/readstep2.html

Ссылки

http://www.securityfocus.com/bid/21858/references

http://www.kb.cert.org/vuls/id/815960

http://www.wisec.it/vulns.php?page=9

http://www.adobe.com/support/security/advi.../apsa07-01.html

Насколько это серьёзно? И насколько скрипт в этом отношении безопасен?

Ссылка на сообщение
Поделиться на других сайтах

МВИА,

абсолютно безопасен, пример дан при обращении по прямой ссылке на файл, а скрипт к закачанным файлам через него не дает прямого доступа, а отдает файлы как раз в описанном способе решения через

Header add Content-Disposition "attachment"

данная проблема описана только если вы даете скачивать PDF файлы напрямую, и то это уязвимость от ADOBE, которая была устранена в 8 версии

Ссылка на сообщение
Поделиться на других сайтах

МВИА,

абсолютно безопасен, пример дан при обращении по прямой ссылке на файл, а скрипт к закачанным файлам через него не дает прямого доступа, а отдает файлы как раз в описанном способе решения через

Header add Content-Disposition "attachment"

данная проблема описана только если вы даете скачивать PDF файлы напрямую, и то это уязвимость от ADOBE, которая была устранена в 8 версии

Спасибо за ответ, удачи...

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...