Новый метод инъекции кода позволяет извлечь данные из PDF

Новый метод инъекции кода позволяет извлечь данные из PDF

Исследователи в области кибербезопасности описали новый метод, позволяющий извлекать конфиденциальные данные из PDF-файлов. По словам специалистов, всего лишь одна простая ссылка может скомпрометировать весь контент цифрового документа.

О новой технике получения важных данных эксперты рассказали на конференции Black Hat Europe. Всё строится на инъекции кода и запуске XSS-атаки в пределах PDF-документа. Учитывая, что именно формат PDF используется в качестве стандарта для обмена документами, описанный экспертами способ может представлять серьёзную угрозу.

Например, PDF используется авиакомпаниями для формирования билетов. Следовательно, каждый такой документ может содержать паспортные данные, домашний адрес, информацию о банковском счёте и другую конфиденциальную информацию.

Гарет Хэйес, исследователь из компании PortSwigger, предупредил о серьёзной проблеме безопасности: злоумышленники могут провести инъекцию кода в PDF, что позволит подменить ссылки и даже выполнить произвольный JavaScript-код внутри таких файлов.

По словам Хэйеса, вся проблема кроется в уязвимых библиотеках PDF, которые некорректно обрабатывают код — круглые скобки и обратные косые черты. Специалист протестировал технику на нескольких популярных библиотеках PDF и нашёл две уязвимые: PDF-Lib (52 000 загрузок каждую неделю) и jsPDF (250 000 загрузок).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

SolidWall WAF совместим с российским веб-сервером Angie PRO

Компания «Веб-Сервер» подтвердила совместимость российского средства фильтрации трафика прикладного уровня SolidWall WAF с веб-сервером Angie PRO.

Как отметил Заур Абасмирзоев, генеральный директор компании-разработчика российского веб-сервера Angie, оба продукта широко используются в критической информационной инфраструктуре (КИИ).

«Проведенные тесты совместимости Angie PRO и SolidWall дополнительно подтверждают большую надежность и безопасность защиты бизнеса от киберугроз, учитывая тенденцию перехода на отечественное инфраструктурное ПО в рамках импортозамещения», — подчеркнул эксперт. 

Интеллектуальный сетевой экран SolidWall WAF предназначен для защиты веб-приложений и их пользователей от кибератак, выявляет таргетированные атаки на веб-приложения и бэкенды мобильных приложений, обеспечивает защиту бизнес-логики от ботов и вредоносной активности. Решение прозрачно встраивается в цикл безопасной разработки приложения (sSDLC), позволяет автоматизировать защиту новых функций и контролировать поведение пользователей.

«Использование интеллектуального сетевого экрана защиты веб-приложений SolidWall совместно с российским веб-сервером Angie PRO позволяет закрыть основные потребности компаний и организаций в условиях, когда они предпочитают использовать программные продукты отечественной разработки в своей инфраструктуре. Решения помогут защитить веб-приложения от широкого спектра угроз. Кроме того, интеграция с Angie PRO расширяет функциональные возможности SolidWall WAF, например, позволяет работать с протоколом HTTP/3»,Григорий Васильев, руководитель направления безопасности приложений компании SolidSoft

SolidWall WAF обладает подробными моделями работы защищаемого приложения и сигнатурными поведенческими методами обнаружения аномалий. Это обеспечивает высокую степень защиты от простых видов атак и сложных направленных воздействий. Инструменты подавления ложных срабатываний и применение ML-алгоритмов помогают быстро ввести SolidWall WAF в эксплуатацию. 

Ранее российский веб-сервер Angie PRO прошел сертификацию совместимости с отечественными операционными системами: Ред ОС, Astra Linux Special Edition, РОСА Хром 12 Сервер, Альт и их ФСТЭК-версии Альт СП, а также был включен в реестр отечественного программного обеспечения (№ 17604). Веб-сервер имеет обратную совместимость с самой последней версией nginx, что позволяет пользователям перейти на отечественное решение без серьезных затрат и простоя сервисов. Веб-сервер имеет поддержку протокола ACME, который упрощает процесс работы с цифровыми сертификатами веб-сайтов, устраняя необходимость в сторонних решениях наподобие EFF Certbot и позволяет Angie не уступать в этом отношении таким решениям, как Caddy.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru