Estrazione e archiviazione .NET di problemi relativi ai file di compressione

3

Mi è stata fornita una specifica per un miglioramento di uno dei miei prodotti software aziendali per consentire l'estrazione dei file compressi caricati (solo Zip al momento) che salveranno e migreranno i file interni nel sistema di gestione dei record dei clienti.

Il nostro software è .NET 4.5 su IIS 8.5 e mi chiedo solo se dovrei organizzare la gestione per non approvare questa richiesta. Mi è sempre stato insegnato a trattare. File Zip con sospetto, e il fatto che sto per passare la fiducia al computer per estrarre, guardare i file e poi spostarli mi fa un po 'paura.

Le mie preoccupazioni sono solo vecchie notizie in cui non dovrei essere più preoccupato, e dovrei essere abbastanza a mio agio da credere che le librerie IIS e .NET ZIP non finiranno per essere scoperte eseguendo una sorta di codice remoto , o la migrazione di un virus attraverso la rete dei clienti.

I file vengono solitamente caricati in un percorso del file system fino a quando non vengono spostati nel sistema dei record, quindi potenzialmente ho un file .exe che si trova liberamente attorno al sistema (sebbene durante l'estrazione si possano rimuovere tipi di file specifici). Se ho appena effettuato lo streaming di caricamenti direttamente nel sistema di registrazione, questo ridurrebbe qualsiasi rischio?

Il nostro prodotto attuale consente solo l'upload di file con le estensioni png, pdf, docx e altre immagini.

Le mie preoccupazioni sono legittime o dovrei fidarmi di IIS e .NET per gestire correttamente.

Inoltre trovo estremamente difficile trovare siti Web basati su informazioni che trasportino informazioni per specifici problemi relativi a tecnologie specifiche (IIS, .NET ecc.), anche se OWASP non sembra avere informazioni dettagliate specifiche. Se qualcuno ha dei buoni siti Web con questo tipo di informazioni, ti preghiamo di fornirli.

Grazie,

    
posta Cyassin 11.10.2016 - 01:23
fonte

1 risposta

2

Non ha molto a che fare con .NET o IIS e ti rendi conto che sei a rischio a causa dell'utilizzo dei prodotti MS. Quando ricevi informazioni dal pubblico, di qualsiasi tipo, dovresti agire pessimista. Controlla l'input e assicurati che sia del tipo che ti aspetti. Ci sono due possibili situazioni:

1) Non hai avuto errori da parte tua, ma una vulnerabilità in alcune librerie (come zip ad esempio) è sfruttata dall'hacker. Si può fare poco su di esso come usare una VM separata che non ha nulla di sensibile su di essa e responsabile della gestione dei file ricevuti, estraendoli e rendendoli disponibili ad altre parti del sistema (è preferibile utilizzare altre parti). Se VM non è possibile mantenere il processo a basso privilegio. Quindi, in caso di exploit, la tua preoccupazione è solo minimizzare il danno. Gli aggiornamenti automatici di Microsoft diminuiscono sfruttando il rischio di exploit zero day. La tua vera preoccupazione va al numero due.

2) I più importanti consigli per la programmazione della sicurezza: non fidarti dell'input dell'utente. Prendi in considerazione l'iniezione SQL, XSS, BoF ... Tutto avviene grazie alla fiducia nel tipo, dimensione, formato ... dell'input dell'utente, quindi controllalo e assicurati che sia ciò che ti aspetti da tutti gli aspetti. Utilizzare un antivirus aggiornato su VM responsabile della gestione dei file e degli archivi di controllo.

Puoi ricapitarlo come piano A quando fai del tuo meglio per prevenire il disastro, piano B, danno già accaduto e cerchi di minimizzarne le conseguenze.

    
risposta data 12.10.2016 - 13:18
fonte

Leggi altre domande sui tag