研究人员揭露新的程式码注入可窃取服务器敏感PDF文件内容

研究人员在Black Hat Europe示范，用简单一个连结就可以注入指令并窃取、甚至修改网站PDF文件的内容。

许多组织在网站服务器端产生PDF文件，像是电子票证、收据、登机证、支付回条等等，许多都是敏感内容，像是银行账号、护照号码、地址，而成为攻击者的目标。

PortSwiggr安全测试厂商研究人员Gareth Heyes指出，服务器端的PDF有很多地方可以上下其手，例如文字字串或注释（annotations），因为这些物件允许开发人员在括号内嵌入文字或URI（统一资源识别码），只要能注入括号或是反斜线，就能在文件中注入PDF程式码，甚至有害的PDF物件或action。

这个攻击手法成功关键在PDF函式库能允许注入括号或反斜线。他指出，一个安全的函式库应该要能跳脱（escape）URI或文字字串中的括号或反斜线，要是缺乏这能力，攻击者就可以透过呼叫PDF JavaScript，或利用submitForm action对外部URL发出POST呼叫，类似Blind XSS的攻击手法。

结果就是让攻击者在PDF产生过程中注入元件来控制PDF文件，例如在PDF文件中加入恶意连结，让下载该文件的用户点入连结或任何部分（如注释），即窃取整份文件资讯，并将之传送到外部远端服务器上，造成资讯外泄。

研究人员检视了8种PDF函式库，发现很受欢迎的PDF-Lib及jsPDF有这个漏洞，前者每周下载5.2万次，后者更超过25万次。两者虽然在文字字串部分防止注入，但注释部分却成为破口。此外，他甚至成功在安全防护较高的Adobe Acrobat及Chrome的PDF引擎PDFium，也成功在注释中注入JavaScript，都不需使用者互动。

研究人员也对网站管理员提供防范方法。在撰写函式库时，企业应防范能正确跳脱用户输入的文字串及注释URI中的括号或反斜线，而在Web app层，则应小心验证，确保PDF没有任何可疑的JavaScript或SubmitForm action。