会议名称:Network and Distributed System Security Symposium
DOI:10.14722/ndss.2021.23109
ISBN:978-1-891562-66-2
发布链接:https://www.ndss-symposium.org/wp-content/uploads/ndss2021_1B-2_23109_paper.pdf
阅读原因
方班需要每个人在阅读其他人的汇报论文后,依据文章内容、制作的PPT以及现场的讲解进行相应的提问,每一位听众都需要提出几个具有讨论意义的问题。
核心内容
论文介绍了PDF文件的安全和隐私性问题,系统分析了原生PDF功能的安全性,并依据挖掘出来的一些可能被用以攻击用途的危险路径,设置了“问题PDF”文件并在实验环境中针对不同的PDF阅读器被攻击的不同结果展开了实验。
文章把攻击分为了四类:拒绝服务攻击Dos、信息泄露、数据篡改以及代码执行
四种攻击都是由于早期Adobe在定义PDF文档规范时对安全性问题考虑不周。
优点
系统介绍了PDF的文件构成,以及存在安全隐患的部位
存在的问题
攻击方式单一化,没有考虑把多种攻击混合后来分别考量不同系统下不同应用软件的表现情况
收获
了解了PDF文件的底层构成以及一些以PDF为载体的攻击的原理,提高了安全意识。
课后分析
这篇文章并不适合作为方班研讨厅的一篇论文讲解与展示,因为这篇文章通篇都是说作者发掘了漏洞,实验发现确实如此,只是让人被动接受,能够进行思维扩展或者讨论的点比较少。