Rimozione delle vulnerabilità dai file caricati

Naviga le tue risposte
2

Il nostro sito Web ha un modulo che consente agli utenti di caricare file immagine (png, gif, jpeg e pdf).

Una volta caricato, il sito Web invia il file (da server a server) all'api del back office, che salva l'immagine sul disco.

Nel back office, i nostri dipendenti possono guardare le immagini caricate dai nostri clienti in un browser.

Sicurezza, se un client invia un file JPEG infetto e il nostro dipendente lo apre in un browser, ciò potrebbe causare problemi di sicurezza.

Oltre all'antivirus, voglio disinfettare i file prima che vengano scritti sul disco.

Se converto jpeg in png e png in jpegs, questo li renderà sicuri da elaborare?

C'è un modo semplice in .NET per proteggere il file semplicemente convertendolo, o forse in un altro modo oltre alla conversione?

    
posta Shazam 02.12.2015 - 15:19
fonte

2 risposte

2

È un po 'difficile fornire una risposta universalmente applicabile a questa domanda in quanto ciò che stai cercando sono le vulnerabilità nella libreria (s) che elabora i file di immagine prima che vengano scritti sul disco.

La conversione dell'immagine da un formato a un altro può aiutare a rimuovere il contenuto non valido, tuttavia il processo di conversione stesso potrebbe introdurre nuove vulnerabilità man mano che i dati vengono elaborati.

Pertanto suggerirei che la pre-elaborazione (ad esempio la conversione o la convalida) dell'immagine in un ambiente isolato (ad es. macchina virtuale dedicata o contenitore Docker) sarebbe una buona idea per ridurre il rischio di questa elaborazione prima di questi immagini visualizzate dal tuo staff.

    
risposta data 02.12.2015 - 15:30
fonte
0

Quello che sembra si stia provando a chiedere è cosa fare per proteggersi se qualcuno carica un file malevolo con un'estensione di tipo immagine ma non è un'immagine in alcun senso (possibilmente codice leggibile da browser) Sono abbastanza sicuro tutto ciò di cui hai bisogno per difenderti è verificare il tipo MIME prima di consentire il caricamento del file.

    
risposta data 03.12.2015 - 03:33
fonte

Leggi altre domande sui tag

E 'possibile estrarre e riutilizzare l'API di un'app di mobile banking [chiusa] Perché OWASP consiglia "Disabilita sessioni di campi incrociati del browser Web"