我发现Tor 网站上的这些信息:
通过 Tor 下载文档(尤其是 DOC 和 PDF 文件)时应非常小心,因为这些文档可能包含 Internet 资源,而打开它们的应用程序会从 Tor 之外下载这些资源。这会泄露您的非 Tor IP 地址。如果您必须使用 DOC 和/或 PDF 文件,我们强烈建议您使用断开连接的计算机、下载免费的 VirtualBox 并将其与禁用网络的虚拟机映像一起使用,或者使用 Tails。但是,在任何情况下,同时使用 BitTorrent 和 Tor 都是不安全的。
据我所知,无法嵌入来自外部来源的图像。那么指的是哪些资源呢?
答案1
我认为你问题的关键在于你能否将 JavaScipt 嵌入 PDF。这篇文章似乎解释了这个过程:“如何使用 JavaScript 增强 PDF 表单”
因此,您可以嵌入一些连接到外部服务器的代码,以便在外部和您的 PC 之间交换数据。
我不确定是否有内置安全选项来限制 PDF 文件是否可以“呼叫主页”。也许这也取决于所使用的 PDF 阅读器。
编辑:
要检查 Adobe Reader 中的设置,请按 ctrl-k 并选择左侧的信任管理器。在我的版本中,这将显示以下选项:
您可以提供详细信息,说明您认为哪些网站适合 pdf 连接。此外,再次在左侧单击 JavaScript,您可以在此处打开或关闭 Adobe JavaScript 的使用。
app.media.getURLData()
根据下面 mgutt 的评论,我不明白为什么如果 JavaScript 没有设置其他限制并且 pdf 应用程序支持 JavaScript,您就不能使用它来加载外部数据。
答案2
你指这是来自 Tor 网站:
...这些文档可以包含互联网资源,这些资源将由打开它们的应用程序在 Tor 之外下载。
这里面的关键词是“可以”,而警告——正如我所读到的——是一个通用的“让我们小心一点……”的陈述。
我不太确定具体图片的情况,但确实存在漏洞、工具和教程,描述了将 rootkit 漏洞注入 PDF 的方法比如这个;粗体强调部分是我所加的:
在这个漏洞中,我们将改变一个现有的.pdf 文件,然后将其发布到我们的网站。当朋友或其他人下载它时,它会在他们的系统上打开一个监听器(一个rootkit),并让我们完全控制他们的计算机。
结尾处说得更清楚;再次强调这是我的大胆强调:
只需将此文件复制到您的网站并邀请访问者下载即可。当我们的受害者从您的网站下载并打开此文件时,它将打开到您的系统的连接,您可以使用该系统来运行和拥有他们的计算机系统。