我维护一个小的open-source Flask extension,这使得处理文件上传更加方便。
其中一个功能是开箱即用,它提供了一组文件类型,如图像,文档等,以便开发人员可以轻松修改该组中所有文件扩展名的行为。
我已收到若干请求,要求*.pdf加入documents group。
这是安全隐患吗?
我似乎记得当有人打开恶意PDF时发生的一些黑客行为。
文档组已包含.doc,.docx,.odf,.xlsx等文件
答案 0 :(得分:1)
文件格式风险程度的一个影响因素是有多少“读者”可以实际打开该格式。安全风险不一定是格式本身,它在程序中打开文件并且不以“防御”的方式读取该文件(例如,打开自身以缓冲溢出)。
例如,历史上只有Microsoft Word可以打开.doc文件,这意味着如果在Microsoft Word中发现漏洞,则所有.doc用户都会受到影响。因此,历史上,许多攻击都针对.doc格式。
PDF拥有非常广泛的读者(Adobe,内置Chrome PDF,内置Firefox PDF,内置Gmail PDF-> HTML渲染器,Fox-it,Evince等)。 PDF本身应该是安全的,并且由于各种各样的PDF阅读器,恶意黑客使用PDF进行攻击更加困难。还有更多“低悬的水果”文档格式。