Sto facendo una valutazione della sicurezza in cui una pagina web ha dei campi se noi trasmettiamo i dati in essi pdf è generato al backend, è possibile inviare del testo dannoso che verrà in pdf e può compromettere la macchina dell'utente o di back-end. Qualsiasi input è il benvenuto.
No, questo non è possibile per quanto ne so. Non riesco a pensare a un vettore che permetterebbe che ciò accada.
Tuttavia, è una regola che l'input dell'utente ALL è considerato non attendibile e deve essere convalidato prima dell'uso. Questo vale ancora qui. Un esempio classico è quello di consentire input di lunghezza illimitata (un client non browser può ignorare qualsiasi "restrizione" HTML su lunghezza) da inviare che provoca un overflow del buffer sul server Web.
Quindi, disinfetti sempre e convalida qualsiasi input sul server prima di usarlo.
Leggi altre domande sui tag pdf web-application appsec penetration-test exploit