Attualmente lavora su un'applicazione web che consente agli utenti di caricare file su uno dei nostri server Windows. L'applicazione è costruita in ASP.NET MVC con un backend MySQL. I file caricati non sono archiviati sul server web e quindi sono inaccessibili tramite l'applicazione.
La buona pratica per i caricamenti di file è di limitare le estensioni ai tipi di file rilevanti, ma questo non verrà lavato qui. Se devo limitare i caricamenti per estensione, deve essere tramite una lista nera.
La ricerca suggerisce che ci sono qualcosa come 50 estensioni di file dispari di cui dovrei essere sospettoso e bloccare. Oltre a ciò, c'è il potenziale per codice pericoloso da nascondere in altri file come PDF.
Tuttavia, lo scopo dell'applicazione è analizzare i file di testo caricati. Una volta che i file sono sul server, vengono inseriti in un flusso di file e il contenuto viene passato alla standardizzazione dei dati. Questo è tutto ciò che fa.
Dato che ciò che facciamo con i file sembra abbastanza sicuro - non li stiamo eseguendo o altro - ho davvero bisogno di mantenere un elenco di blocchi a 50 corde in continua espansione? O ci sono alcuni tipi di file (ad esempio .exe) che posso considerare particolarmente pericolosi senza compromettere la sicurezza.