Security Evaluation of PDF Libraries

Global

Supervision: Christian Mainka, Vladislav Mladenov, Simon Rohlmann

Start date: ab sofort

Duration: 3 Monate

More details:

Description

Deutsch:
PDF Dokumente lassen sich universell verwenden und bieten sich hervorragend als Format für einen plattformunabhängigen Austausch von Dokumenten an. Durch dynamische Elemente wie Formulare, JavaScript Unterstützung und das Ausführen von Systemkommandos, ist das PDF Format darüber hinaus flexibel und mächtig zu gleich. Diese Vorteile bieten allerdings auch gleichzeitig ein enormes Potential für Missbrauch und so entstehen seit Jahren immer neuere und effektivere Angriffe auf PDF Applikationen. Neben PDF Applikationen bilden PDF Libraries ebenfalls ein relevantes Angriffsziel und sollen im Rahmen dieser Bachelorarbeit genauer betrachtet werden.

In dieser Bachelorarbeit sollen verschiedene PDF Libraries sicherheitstechnisch untersucht werden. Hierfür sollen vor allem bekannte Angriffe auf PDF Applikationen [1], XML Angriffe [2] und die Signaturvalidierung [3, 4] auf entsprechende PDF Libraries ausgeweitet werden.

Die Arbeit gliedert sich dabei in drei Teile:
1. Aufbau einer Testumgebung mit verschiedenen PDF Libraries.
2. Auswahl und Aufbau geeigneter bösartiger PDF Dokumente.
3. Evaluation der bösartigen PDF Dokumente in PDF Libraries.


English:
PDF documents are an excellent format for platform-independent document exchange. Dynamic elements such as forms, JavaScript support and the execution of system commands make the PDF format both flexible and powerful. However, these advantages also offer enormous potential for misuse, which is why newer and more effective attacks on PDF applications have been emerging for years. In addition to PDF applications, PDF libraries are also a relevant target for attacks and should be analyzed in more detail in this bachelor thesis.

In this bachelor thesis, various PDF libraries will be examined from a security perspective. In particular, known attacks on PDF applications [1], XML attacks [2] and signature validation [3, 4] are to be extended to corresponding PDF libraries.

The work is divided into three parts:
1. Setting up a test environment with different PDF libraries.
2. Selection and construction of suitable malicious PDF documents.
3. Evaluation of the malicious PDF documents in PDF libraries.


Referenzen:

Requirements

Grundlegende Programmierkenntnisse in Python