2.1 背景
讀取pdf檔案字元內容常見方法有①光學識別ocr檢測提取字元②最常用的是通過string type 提取ascii碼的text內容。
pdf系統不對字型檔案做檢查,字型檔案的設定也可完全由使用者自定義。
2.2 攻擊場景
②條件檢測:繞過**查重系統(通過修改得到想要的查重率),將隨機的**分配審稿人系統改編為可控的(關鍵字匹配檢測)。
2.3 攻擊原理
字型檔案通過通過修改字型檔案改變對映。例如通過修改對映可以將5字變3字,或3字變5字。
3.1 ocr scan
可以解決字型檔案攻擊問題,但是相應檢測時間變長,尤其當文件篇幅很長時尤為明顯。
同時光學識別無法解決修改比例比較小的情況。但篇幅變長時,正確率會提公升。
3.2 僅檢測字型檔案
相對於ocr縮短檢測時間,更進一步的可以僅僅檢測高頻詞彙的字型。
對於其中的有效字元和特殊字元進行轉換,規範其表現形式。
系統特性與web安全
目錄 一 windows系統 windows對.的支援 windows對.的忽略 二 nix系統 freebsd系統下 的利用 大小寫的區分 三,iis與apache 解析檔案型別的利用 iis6的特性 apache檔名解析缺陷漏洞 四 配置檔案的位置 一 windows系統 1 windows對....
Web應用安全威脅與防治
本書的試讀章節讓我們知道了會話劫持的危害性,對身份驗證和會話管理做了詳細的講解。首先讓我們看看下面兩個概念 1.什麼是owasp?owasp開放式web 應用程式軟體。2.什麼是esapi?esapi owasp企業安全應用程式介面 是乙個免費 開源的 網頁應用程式安全控制項庫,它使程式設計師能夠更...
Web應用安全威脅與防治
本書的試讀章節讓我們知道了會話劫持的危害性,對身份驗證和會話管理做了詳細的講解。首先讓我們看看下面兩個概念 1.什麼是owasp?owasp開放式web 應用程式軟體。2.什麼是esapi?esapi owasp企業安全應用程式介面 是乙個免費 開源的 網頁應用程式安全控制項庫,它使程式設計師能夠更...