Può un testo di pagina web salvato in macchine di compromissione di file pdf

1

Sto facendo una valutazione della sicurezza in cui una pagina web ha dei campi se noi trasmettiamo i dati in essi pdf è generato al backend, è possibile inviare del testo dannoso che verrà in pdf e può compromettere la macchina dell'utente o di back-end. Qualsiasi input è il benvenuto.

    
posta user3754136 21.09.2016 - 13:20
fonte

1 risposta

1

No, questo non è possibile per quanto ne so. Non riesco a pensare a un vettore che permetterebbe che ciò accada.

Tuttavia, è una regola che l'input dell'utente ALL è considerato non attendibile e deve essere convalidato prima dell'uso. Questo vale ancora qui. Un esempio classico è quello di consentire input di lunghezza illimitata (un client non browser può ignorare qualsiasi "restrizione" HTML su lunghezza) da inviare che provoca un overflow del buffer sul server Web.

Quindi, disinfetti sempre e convalida qualsiasi input sul server prima di usarlo.

    
risposta data 21.09.2016 - 14:04
fonte

Leggi altre domande sui tag