Abbiamo completato una vulnerabilità e un test di penetrazione. Una caratteristica della nostra applicazione consente di caricare i documenti e di autorizzare i documenti PDF.
Prima che un documento venga accettato, scansioniamo Virus e assicuriamo che il documento sia un PDF valido. Tutto questo va bene.
A questa funzione è stato assegnato un rischio CVSS di mezzo perché non eseguiamo la scansione di Javascript dannoso incorporato o perché il rapporto suggerisce "codice dannoso". Ovviamente non esiste una definizione di codice JS dannoso.
Dalla lettura della documentazione di adobe [1], sembra che sia stato fatto un ragionevole sforzo per determinare se il codice JS è dannoso.
Le mie domande:
-
Gli sforzi di adobe [1] sono sufficienti?
-
È ragionevole aspettarsi che blocchiamo tutti i file PDF con JS incorporato?
-
Non sembra che ci sia molto rumore / chiacchiere sul JS incorporato nei file PDF, suggerendo che altri non vedono questo problema, sarebbe vero?
-
Se non eseguiamo la scansione di JS incorporato, è ragionevole essere un punteggio CVSS di mezzo?
-
Quali sono i casi di utilizzo generale per JS incorporato nei PDF. Nel caso in cui blocchiamo tali PDF, a un utente verrà impedito di caricare determinati file PDF.
-
Qual è la cosa peggiore che qualcuno possa fare con questa funzione JS integrata in PDF, sappiamo che PDF JS è sandboxed dall'applicazione Web, quindi non è XSS per l'applicazione web?
[1] Documentazione Adobe link