Quali sono le minacce alla sicurezza dei caricamenti di file zip e quali azioni preventive dovrebbero essere intraprese?

19

Abbiamo un'applicazione Drupal sviluppata per condividere file.

  1. Stiamo consentendo il caricamento di file zip da parte di un utente del dipartimento connesso.
  2. Utilizziamo il file system privato Drupal (al di fuori di webroot).
  3. Stiamo utilizzando php Fileinfo per la convalida.
  4. Solo l'utente che ha effettuato l'accesso sarà in grado di scaricare il file.

Ora il nostro team di sicurezza non sta consentendo il caricamento di zip dicendo che è una minaccia. Voglio conoscere le minacce alla sicurezza avendo questa funzione e cosa posso fare per impedirlo.

    
posta wolverine 04.04.2013 - 09:38
fonte

4 risposte

12

Un'area in cui i file ZIP possono presentare un rischio per l'applicazione l'attacco zip-bomb . questo accade quando un archivio è costruito in modo tale che quando viene aperto consuma una grande quantità di spazio sul server potenzialmente causando l'arresto anomalo.

Potrebbe essere possibile mitigare questo problema aprendo i file zip su un filesystem dedicato e quindi interrompendo l'azione decomprimere se viene raggiunta una dimensione massima predeterminata.

    
risposta data 04.04.2013 - 10:25
fonte
10

Non ci sono minacce alla sicurezza. Almeno nessuno che sia specifico per i file zip.

Le principali preoccupazioni sono già state delineate da altri utenti. Tuttavia, tutti questi non sono dannosi per l'applicazione stessa o non specifici per i file zip.

  1. Attacchi Zip Bomb, come descritto da Rory McCune.
    Questi sono solo un problema se i file verranno decompressi.
  2. Inclusione di contenuti dannosi all'interno del file zip.
    Tuttavia, ciò influirebbe solo sulle entità che decomprimono e eseguono i file all'interno del file zip. Normalmente un'applicazione non lo fa, ma un utente potrebbe.
  3. Preoccupazioni di exploit di sicurezza o eseguibili malevoli
    Questo non è un problema solo con i file zip, ma con qualsiasi estensione di file. Un file contrassegnato come eseguibile o meno non impedisce la sua esecuzione.
risposta data 04.04.2013 - 14:40
fonte
8

Il problema con una zip è che non sei veramente sicuro di cosa ci sia dentro. Dovresti decomprimere i contenuti, cercare virus e quindi sapere che non ci sono virus noti in loro.

In secondo luogo, quando i fileupload sono in uso, è possibile consentire solo una certa quantità di estensioni di file (lista bianca piuttosto che lista nera) ed è necessario verificare che i file con questa estensione siano effettivamente di quel tipo (ad esempio un .bin cambiato in .txt). Ma ogni tipo di file può essere incapsulato in un file zip. Se si autorizza .zip e non si controlla il contenuto, si sta rendendo obsoleta la lista bianca. Quindi di nuovo dovresti controllare il contenuto del file zip per assicurarti che solo un certo tipo di file sia incluso in essi.

Quindi zip sarebbe fattibile solo nel caso in cui fosse necessario ridurre i caricamenti di file di grandi dimensioni che potrebbero congestionare la rete. Perché per fornire sicurezza dovresti ancora decomprimerli e controllare i contenuti. Se stai facendo questo perché stai pensando di conservare lo spazio su disco, è meglio accettare i file nel formato normale e poi chiuderli da soli dopo averli controllati.

    
risposta data 04.04.2013 - 09:47
fonte
3

Anche i file zip sono un vettore di attacco rispetto ai motori di av (in realtà, ogni tipo di file analizzato da av è un vettore). Scenari di sfruttamento vulnero sono diversi, ma vanno da qualcosa come la corruzione della memoria all'esecuzione arbitraria di codice.

    
risposta data 04.04.2013 - 14:04
fonte

Leggi altre domande sui tag