В настоящее время я работаю над проверкой концепции безопасности, в которой мне нужно показать опасность открытия неизвестного файла PDF.
Интернет говорит, что многие вредоносные программы используют Javascript в PDF-документе (AcroJS) для загрузки своих вредоносных программ.
Мой PoC основан на жертве, которая продемонстрирует утечку данных при открытии файла PDF. Мне нужно только отправить имя файла через Интернет. Я могу написать код Javascript, который запускается при открытии документа, но функцию Net.HTTP.request можно использовать только в доверенном контексте.
Так что я не вижу, как сделать запрос GET на мой слушающий «злой» сайт.
Я читал, что иногда хакеры используют уязвимости в Acrobat для исправления своих ошибок, но во многих местах говорится о нативной способности AcroJS разрешать GET-запрос.
Кто-нибудь знает, как сделать односторонний запрос GET (ответ сервера даже не интересен в этом случае).
Возможно, есть способ включить удаленное (несуществующее) изображение, чтобы PDF-файл отправил запрос GET на указанный URL-адрес.
Или как то так.
Спасибо за вашу помощь, я знаю, что это действительно близко к проблемам безопасности, но я думаю, что для ответа нужны навыки acroJS (которые редко встречаются в сообществе безопасности).
Спасибо