Mi è stata fornita una specifica per un miglioramento di uno dei miei prodotti software aziendali per consentire l'estrazione dei file compressi caricati (solo Zip al momento) che salveranno e migreranno i file interni nel sistema di gestione dei record dei clienti.
Il nostro software è .NET 4.5 su IIS 8.5 e mi chiedo solo se dovrei organizzare la gestione per non approvare questa richiesta. Mi è sempre stato insegnato a trattare. File Zip con sospetto, e il fatto che sto per passare la fiducia al computer per estrarre, guardare i file e poi spostarli mi fa un po 'paura.
Le mie preoccupazioni sono solo vecchie notizie in cui non dovrei essere più preoccupato, e dovrei essere abbastanza a mio agio da credere che le librerie IIS e .NET ZIP non finiranno per essere scoperte eseguendo una sorta di codice remoto , o la migrazione di un virus attraverso la rete dei clienti.
I file vengono solitamente caricati in un percorso del file system fino a quando non vengono spostati nel sistema dei record, quindi potenzialmente ho un file .exe che si trova liberamente attorno al sistema (sebbene durante l'estrazione si possano rimuovere tipi di file specifici). Se ho appena effettuato lo streaming di caricamenti direttamente nel sistema di registrazione, questo ridurrebbe qualsiasi rischio?
Il nostro prodotto attuale consente solo l'upload di file con le estensioni png, pdf, docx e altre immagini.
Le mie preoccupazioni sono legittime o dovrei fidarmi di IIS e .NET per gestire correttamente.
Inoltre trovo estremamente difficile trovare siti Web basati su informazioni che trasportino informazioni per specifici problemi relativi a tecnologie specifiche (IIS, .NET ecc.), anche se OWASP non sembra avere informazioni dettagliate specifiche. Se qualcuno ha dei buoni siti Web con questo tipo di informazioni, ti preghiamo di fornirli.
Grazie,