Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

SIGS DATACOM GmbH

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)2241/2341-100

kundenservice@sigs-datacom.de

Tief im Westen, wo die Sonne verstaubt [HER]

Hallo, das PDF-Format scheint das Allheilmittel zu sein, wenn Dokumente ausgetauscht werden sollen, die von verschiedenen Parteien gelesen, aber nicht geändert werden sollen. Seien es Pflichtenhefte, Verträge oder einfach nur Dokumentation – es gibt scheinbar nichts, wozu PDFs nicht geeignet wären. Über das Thema Sicherheit macht sich hier kaum jemand Gedanken, auch wenn längst bekannt ist, dass auch das PDF-Format hier Lücken aufweist. Genau mit diesen Themen beschäftigt sich die Website, die ich heute vorstellen möchte.
Author Image
Thomas Ronzon

Projektleiter und Senior Softwareentwickler


  • 24.09.2021
  • Lesezeit: 3 Minuten
  • 81 Views

Fährt man von Dortmund über die malerische A40 Richtung Bochum (Zitat Frank Goosen: Woanders is auch scheiße!), ahnt man nicht, dass die Ruhr-Uni einen Lehrstuhl hat, der sich mit „Netzund Datensicherheit“ beschäftigt. Und genau dieser Lehrstuhl hat zusammen mit der Fachhochschule Münster und der Hackmanit GmbH die Website „PDF Insecurity“ [PDFI] auf die Beine gestellt, die sich nur mit dem Thema Sicherheit bei PDFs beschäftigt.

Abb. 1: Die Website „PDF Insecurity “

Doch der Reihen nach …

Was ist das Besondere an der Website? Ruft man diese Seite auf, so erhält man zunächst einen Überblick über verschiedene Angriffsmöglichkeiten auf PDFs. Besonders gelungen ist hier, dass die Angriffe nicht nur beschrieben werden, sondern dass in einem eigenen Absatz „So what is the problem?“ noch einmal zusammengefasst wird, was dieses Problem konkret bedeutet.

Viel zu lesen

Aber die Seite kann noch mehr – durch die Nähe zur Universität findet man nämlich unter „Download“ [PAP] gleich Papers und Materarbeiten, die sich mit den jeweiligen Angriffen beschäftigen – und zwar in einer Tiefe, die man so sicherlich nicht häufig findet.

Viel zu testen

Das Highlight der Site ist aber meiner Meinung nach der Punkt „Exploits->Download“ [EXP], der fertige Exploits für die beschriebenen Attacken zum Download bereitstellt. So ist sichergestellt, dass jeder diese Probleme nicht nur theoretisch, sondern auch praktisch erfahren kann.

Wer sollte nun diese Seite „erforschen“?

Meiner Meinung nach richtet sich diese Seite nicht nur an Leser, die gegen Probleme mit PDFs gewappnet werden sollen, sondern ist auch für andere Lesergruppen interessant.

Durch die Kombination von theoretischen Papern mit den praktischen Exploits kann man viel über Sicherheit im Allgemeinen lernen. Vor allem aber kann man es ausprobieren! Dies erlaubt, das Thema Sicherheit hautnah zu erfahren und zu erforschen, ohne viel Overhead zu generieren. Insofern ist diese Seite nicht nur für Penetrationstester, sondern auch für Entwickler und Architekten interessant.
Auf der anderen Seite zeigt diese Site aber auch, wie man ohne viel Schnickschnack eine tolle und übersichtliche Seite zu einem abgegrenzten Thema bereitstellen kann!

Weitere Informationen

[EXP]
https://www.pdf-insecurity.org/downloads/exploits.html

[HER]
https://www.youtube.com/watch?v=Gtd9Bg9S85U

[PAP]
https://www.pdf-insecurity.org/downloads/paper_reports_theses.html

[PDFI]
https://www.pdf-insecurity.org

. . .
Vorheriger Artikel
Unittests und git

Author Image

Thomas Ronzon

Projektleiter und Senior Softwareentwickler
Zu Inhalten

Thomas Ronzon arbeitet als Projektleiter und Senior Softwareentwickler bei der w3logistics AG in Dortmund. Dabei beschäftigt er sich vor allem mit der Modernisierung von unternehmenskritischen Logistikanwendungen. Darüber hinaus veröffentlicht Thomas Ronzon regelmäßig Fachartikel.


Artikel teilen