Un exe rinominato automaticamente in esecuzione

Question

Un exe rinominato automaticamente in esecuzione

#1 da (3 voti)

1

Al momento stiamo sviluppando un'app Web che consente agli utenti di caricare file per fungere da allegati alle informazioni fornite.

Ovviamente consentire agli utenti di caricare qualsiasi tipo di file è molto pericoloso, quindi stiamo aggiungendo dei passaggi per fermare determinati file.

Principalmente exe e zip. Ma il pensiero si è verificato che un utente potrebbe semplicemente rinominare un file .exe e dargli un'altra estensione. Quindi ora stiamo pensando di controllare il file di intestazione per assicurarci che sia effettivamente il tipo di file che dice di essere, ma è davvero necessario? Ci sarebbe un modo per un utente di modificare l'estensione e mantenere il file malizioso o automatico? Sicuramente il cambio di estensione significherebbe che è stato gestito in modo errato da Windows?

windows exploit file-upload

posta Tom.Bowen89 25.03.2014 - 12:51

fonte

1 risposta

Leggi altre domande sui tag windows exploit file-upload

Quali sono questi lunghi www bitnik URL? SSL / TLS: meccanismo di autenticazione

score 3 · Answer 1

Obviously allowing users to upload any file types is very dangerous

Tutto ciò che un utente carica è solo 0 e 1 finché non decidi di fare qualcosa con esso. L'esecuzione di tali file sarebbe una cattiva idea, sì.

I programmi eseguibili non vengono eseguiti automaticamente a meno che tu non li dica, comunque. Se ti stai interrogando sul comportamento di autorun di alcuni supporti di archiviazione, questo è ora limitato solo a CD e DVD nelle versioni moderne di Windows e non ha nulla a che fare con la tua app Web.

Se hai un chiaro insieme di tipi di file che ti aspetti, ad esempio solo le immagini, sarebbe facile creare una whitelist delle firme dei file previste.

Costruire una lista nera di file "cattivi" è una totale perdita di tempo, a mio parere.

Escludere i file .exe o modificarne l'estensione impedirebbe agli utenti di scaricare file e spararsi al piede, ma con un po 'di ingegneria sociale i file dannosi possono essere nascosti e utilizzati in modi molto creativi. Vedi 4chan.js che è stato caricato come file GIF valido per un esempio.

Per questo motivo non mi preoccuperei di prenderlo molto oltre il banning delle estensioni .exe. Questo non è qualcosa che potrebbe essere un problema per la tua app web e sei solo responsabile della protezione degli utenti. Non ci si può aspettare che bolla li avvolga da Internet.