I file di testo o i file di immagine devono essere sottoposti a scansione di virus durante il caricamento?

Naviga le tue risposte
3

Ho creato un'applicazione web online per la mia azienda. Viene testato per i file di sicurezza. Il tester ha caricato il file di testo EICAR. Lo scanner dei virus sul server ha catturato e rimosso il file.

Ho solo permesso il caricamento di file di testo, gif, jpg e pdf. Quanto è probabile che un file di testo e un file di immagine abbiano un virus? So che le cose sono cambiate molto ultimamente. Siamo su Windows 7. La mia domanda è, c'è anche la necessità di eseguire un programma antivirus per tali tipi di file? Grazie.

    
posta user3586195 09.01.2015 - 19:15
fonte

4 risposte

4

Molto, molto tempo fa si è diffusa la voce che c'è un virus in grado di infettare gif. Tutte le persone sagge hanno riso dell'idea del codice di esecuzione dei dati. Ma poi sono stati scoperti attacchi di sovraccarico del buffer e un bug in Internet Explorer che ha consentito il sovraccarico del buffer in gif, eseguendo essenzialmente codice dannoso.

La morale di questa storia è doppia. Primo: c'è sempre la possibilità che i dati possano essere usati come vettori di attacco "virali". Secondo: non c'era assolutamente alcuna possibilità che uno scanner antivirus potesse rilevarlo prima che fosse scoperto l'attacco.

Posso solo raccomandare la scansione dei file di dati se c'è un attacco noto che potrebbe compromettere gli utenti durante l'uso regolare (e il tuo AV lo rileva). La scansione di ogni .txt per essere rinominato .exe sembra un po 'eccessivo. Ancora più importante, dovresti essere pronto a rieseguire la scansione dei vecchi file ESISTENTI, nel caso in cui venga scoperto un nuovo attacco. Scansionare i file esistenti è facile, il problema è cosa fare dopo - ritirando l'accesso al file, notificando il suo proprietario, ecc. - È molto impegnativo progettare e implementare tale gestione degli errori.

Come ha detto Raz, i pdf sono animali diversi: sono già noti per contenere codice e devono essere scansionati sia in fase di caricamento, sia in memoria a intervalli regolari.

    
risposta data 09.01.2015 - 19:32
fonte
0

Per non dire il contrario, come Agen_l ha sottolineato se si tratta di un vettore di attacco ha qualche serio se collegato ad esso.

Exempli Gratia, c'era una volta un bug in Clam AV che consentiva l'esecuzione di codice dannoso semplicemente scansionando un file infetto ... Quindi il processo di scansione stesso potrebbe essere il vettore di attacco.

Allo stesso modo una moltitudine di processi automatizzati può accedere al file a seconda dell'ambiente, puoi essere certo che si tratta semplicemente di dati statici e non sarà mai accessibile da niente?

Questo non vuol dire che devi essere paranoico al riguardo, ma non puoi assolutamente escludere alcun tipo di file come potenzialmente dannoso se ti si accede da qualcosa che potrebbe potenzialmente essere vulnerabile e che caricherà i suoi dati nella memoria.

Clam non era l'unica vittima, solo un esempio, ce ne sono molti altri (molto probabilmente più da scoprire o peggio ancora rilasciati) e quelli sono solo i prodotti AV ... Vedi questo documento sugli antivirus offensivi per qualche riferimento.

link

    
risposta data 09.01.2015 - 20:16
fonte
0

Un file PDF può contenere un virus? Certamente. È relativamente comune trovare file PDF con intento malevolo (anche se quelli fanno ancora affidamento su una vulnerabilità del lettore).

File Gif e jpeg? A volte c'è una vulnerabilità su un parser di quei formati (ricordo un problema anni fa con un sottoprogramma jpeg), ma sono generalmente sicuri.

(Sidenote: aggiungerei anche png alla lista dei formati consentiti.)

Se stai eseguendo una scansione AV e non causa problemi, lo terrei.

Ora, ciò che ti consiglio vivamente è di verificare che siano effettivamente ciò che sostengono di essere. E che non è possibile confondere il browser in es. servire come html ciò che la tua applicazione riteneva essere un txt di gif, il che avrebbe conseguenze drastiche. Esistono anche formati ibridi come Gifar (un Jar mascherato da Gif) che può essere utente come vettore di attacco. Quindi è molto importante fare attenzione con il tipo di contenuto, altrimenti alcuni browser potrebbero entrare in modalità di ipotesi .

    
risposta data 09.01.2015 - 22:28
fonte
0

  1. Innanzitutto non fidarti mai dell'input dell'utente, disinfetti sempre il codice presente nell'immagine (jpg, gif (metadati), txt, pdf, docs, xml ecc. perché possono contenere php, asp shellcode, payload XSS (codice che può aiutare l'utente malintenzionato ad accedere).

  2. Non so quanto sia efficace l'antivirus nel rilevare questi tipi di attacchi perché ci sono molti modi per aggirarlo.

  3. L'errata configurazione del server e le vulnerabilità del web possono portare gif / jpg o anche file di testo o qualsiasi tipo di file da eseguire sul server o almeno fornire un utente malintenzionato con una superficie di attacco.

Quindi la scansione di file con antivirus può sicuramente aiutare, ma è necessario ricordare che non è una soluzione infallibile!

    
risposta data 10.01.2015 - 21:31
fonte

Leggi altre domande sui tag

Un database WP compromesso può causare una re-infezione senza che l'hacker debba accedere a WP? Come si applica la politica della stessa origine tra le schede del browser? [duplicare]