研究人员利用浏览器渲染过程来改变 PDF 发票定价

于 2024-07-11 00:50:27 发布
阅读量220 收藏 6
点赞数 6
分类专栏: 网络研究观 文章标签: pdf 文件 交易 发票 篡改 风险 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/140337729
版权

 

首发公众号网络研究观,微信搜索关注每日获取更多内容。

网络安全研究员 Zakhar Fedotkin 演示了如何利用不同浏览器和操作系统之间 PDF 渲染的差异来操纵 PDF 发票上显示的价格。

此漏洞可能会严重影响依赖数字发票进行交易的企业。

研究人员受到 Konstantin Weddige 博客文章“Kobold Letters”的启发,创建了一个概念证明。

展示了 PDF 发票如何根据所使用的查看器显示不同的价格。

在演示中,一份 PDF 发票在 Safari 和 MacOS Preview 中显示总价为 399 英镑。

然而,在 Windows 操作系统的 Google Chrome 或 Google Drive 中打开同一份文件时,显示的总价为 999 英镑。

图片

演示过程

变化无常的 PDF

PDF 渲染差异的出现是因为每个主流浏览器使用不同的引擎来渲染 PDF 文件:

  • Google Chrome:使用 PDFium。

  • Safari:采用自己的 PDF 渲染引擎。

  • Firefox:利用PDF.js。

这些引擎以不同的方式处理交互式表单字段和小部件注释,导致同一 PDF 文件在不同平台上的显示方式不一致。

研究人员使用org.apache.pdfbox Java 库创建了一个混合 PDF,该 PDF 滥用小部件注释来造成渲染差异。

该过程包括:

  1. 创建交互式表单:该表单至少包含一个具有默认值的输入文本字段(例如,399 英镑)。

  2. 添加小部件注释:这些注释用于在优先考虑注释而不是表单字段的查看器中呈现不同的值(例如,999 英镑)。

PDDocument document = new PDDocument();
PDAcroForm acroForm = new PDAcroForm(document);
PDTextField field = new PDTextField(acroForm);
field.setValue("£399");

// Create and set custom appearance stream
PDFormXObject appearanceStream = new PDFormXObject(document);
PDPageContentStream appearanceContents = new PDPageContentStream(document, appearanceStream);
appearanceContents.beginText();
appearanceContents.showText("£999");
appearanceContents.endText();
appearanceContents.close();

PDAnnotationWidget widget = field.getWidgets().get(0);
widget.setAppearance(appearanceStream);
document.save("Invoice.pdf");
document.close();

如果不加以解决,这种差异可能会导致严重的财务差异。

例如,首席执行官可能会根据 Safari 中显示的 399 英镑批准发票,但会计部门在 Google Chrome 中查看同一张发票后,却处理了 999 英镑的付款。

处理数字发票时,不同平台之间 PDF 渲染过程的复杂性和模糊性要求必须谨慎处理。

企业应确保参与审批和付款流程的所有各方都使用相同的 PDF 查看器,以避免出现此类差异。

此外,开发人员和网络安全专业人员必须意识到这些漏洞,以防止潜在的利用。

对于那些对本研究中使用的技术细节和代码感兴趣的人,可以在研究人员的 GitHub 存储库中找到Fickle PDF 示例。

网络研究观
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解浏览器渲染页面过程
08-31
浏览器渲染页面的过程是网页开发中至关重要的一环,它涉及到用户从输入URL到看到完整页面的整个体验。下面我们将深入探讨这个过程的各个阶段,并提供一些优化页面性能的策略。 首先,浏览器接收到HTML文件后开始...
浏览器渲染过程及优化策略
02-27
浏览器渲染过程及优化策略 浏览器渲染过程是一个复杂的过程,它涉及到多个进程和线程的协作。为了确保浏览器的稳定性和安全性,浏览器采取了多进程模型。每个进程都有其自己的内存空间,每个线程都是进程的一部分,...
实施Microsoft Dynamics 365 CE-1. Dynamics 365 CE简介,提供了有关Dynamics 365客户参与度的基本详细信息
最新发布
Martin-Mei的博客
08-28 1029
如果您是Microsoft Dynamics产品系列的新手,并且以前从未使用过Dynamics,则可以将其视为业务应用程序的集合。现在,您可能想知道,什么是业务应用程序?这是一款专门为自动化业务活动而构建的软件。在这种情况下,业务活动是指在业务的各个部门中使用的流程。这些流程取决于您所从事的业务类型。例如,如果您经营的是一家基于服务的公司,您的流程自动化将与您向客户提供的服务相关。汽车服务公司可以使用业务应用程序来管理其日常服务请求、处理路边救援查询、处理维护请求和生成工单。
eclipse插件
dianfanbo的专栏
02-26 2295
Spring Framework   【Java开源 J2EE框架】Spring是一个解决了许多在J2EE开发中常见的问题的强大框架。 Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的 Inversion of Control容器。然而,这仅仅是完整图景中的一部分:Spring在使用IoC容器作为构建完关注所有架构层的完整解决方案方面是独一无二的。 Spring提供了唯一的数据访问抽象,包括简单和
Java开源大全
08-31 4468
Java开源大全:www.open-open.com  项目开头字母 | A  | B | C | D | E |  F | G | H | I | J |  K | L | M | N | O |  P | Q | R | S | T |  U | V | W | X | Y |  Z |  关于我们  开源协议介绍  最近更新  <!--google_ad_cli
JAVA开源工具大全
enjoyo
08-30 4344
文章来源:open-open Spring Framework  【Java开源 J2EE框架】Spring是一个解决了许多在J2EE开发中常见的问题的强大框架。 Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的 Inversion of Control容器。然而,这仅仅是完整图景中的一部分:S
http://www.open-open.com/ java 开源资料 介绍
水木米
11-13 8082
Java开源大全v/:* { BEHAVIOR: url(#default#VML)}function SideBarToggle() { if (block == $(sidebar).style.display || ==$(sidebar).style.display) { $(sidebar).style.display = none;
100个替代昂贵商业软件的开源应用/100 Open Source Replacements for Expensive Applications
leunggaoxiang的专栏
03-24 9541
100个替代昂贵商业软件的开源应用/100 Open Source Replacements for Expensive Applications 100 Open Source Replacements for Expensive Applications Enterprises, SMBs and home users can see significant savin
浏览器渲染文本过程分析
09-25
浏览器是我们最常用的软件之一,文本又是网页中最主要的元素,在浏览器显示文本的过程中有许多有趣的细节,值得展开来讲讲,或许能减少一些误,本文将详细介绍,需要了解的朋友可以参考下
浏览器加载、渲染和解析过程黑箱简析
09-05
在理解浏览器加载、渲染和解析过程时,首先我们要知道这是一个复杂且高度优化的过程,涉及到了多个步骤和机制。浏览器的主要任务是将HTML、CSS和JavaScript等资源转化为用户可见的网页。下面我们将详细探讨这些过程...
浏览器渲染过程与性能优化1
08-03
例如,利用CSS的`display: none`或`visibility: hidden`来隐藏元素,而不是通过改变其尺寸或位置,这样可以减少布局的重新计算。使用CSS3的`transform`和`opacity`属性进行动画处理,因为它们通常只触发重绘,而不...
浏览器显示预览pdf文件
06-29
2. **使用JavaScript库**:如PDF.js,这是一个由Mozilla开发的开源库,专门用于在Web浏览器渲染PDF文档,不受浏览器内置支持的限制。 3. **利用API服务**:如Google Docs Viewer API,可以提供一个URL来预览PDF,...
浏览器渲染HTML过程.docx
09-26
**Reflow(回流)**:在渲染过程中,当元素尺寸、位置或CSS样式发生改变浏览器需要重新计算元素及其子孙元素的布局,这一过程称为回流。回流是性能瓶颈的主要来源,因为会导致浏览器重绘受影响的区域,甚至整个...
浏览器查看PDF文件(JS)
04-09
PDF.js是Mozilla开发的一个开源项目,它提供了在浏览器渲染高质量PDF的解决方案,而无需依赖任何插件。 总结来说,"浏览器查看PDF文件(JS)"这个话题涉及了JavaScript、jQuery和PDF在Web环境中的交互。通过jQuery...
浏览器渲染机制.png
03-02
浏览器原理
浏览器渲染过程与原理 1
08-03
浏览器渲染过程是前端开发中的核心概念,它涉及到用户从输入URL到看到网页内容的整个流程。本文主要探讨了浏览器渲染页面的原理,特别是关键渲染路径以及CSS和JavaScript如何影响这个过程。 关键渲染路径是浏览器...
利用VisualBasic6-0精简版编写网页浏览器方法.pdf
11-28
"利用VisualBasic6.0精简版编写网页浏览器方法" 本文将详细介绍如何使用Visual Basic 6.0精简版编写网页浏览器的方法。Visual Basic 6.0是一种古老的编程语言,但它仍然具有很高的实用价值,特别是在Legacy系统中。...
浏览器渲染引擎的基本渲染过程
05-30
浏览器渲染引擎的基本渲染过程通常包括以下步骤: 1. HTML解析:解析HTML代码,构建DOM树和CSSOM树。 2. 布局计算:通过DOM树和CSSOM树计算出每个元素在网页中的位置和大小。 3. 绘制渲染:将布局计算出的元素绘制到屏幕上,形成位图。 4. 合成及显示:将所有位图合成,显示在屏幕上。 以上步骤是一个串行的过程,即每一步必须等待前一步完成后才能进行下一步。在这个过程中还有一些优化技术,例如HTML和CSS的异步加载、惰性渲染等,可以提高渲染效率和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值