è possibile caricare immagini infette su un sito web?

Se il modulo di caricamento non è protetto e non viene verificato un sacco di cose sui file che stanno cercando di essere caricati sul server, sì è possibile caricare un'immagine infetta. Intercetti l'intestazione http come dati di manomissione o altri strumenti e puoi modificare l'estensione del tuo file e altri parametri:  esempio: link

Per la scansione AV dipende dalla shell che carichi penso.

Spero che questo ti aiuti, scusate il mio inglese non è molto bravo.

Molte cose possono andare storte con i caricamenti di file. Se per immagini "infette" intendi immagini che attiveranno l'esecuzione di codice arbitrario sulle macchine dei tuoi visitatori, direi che probabilmente stai bene (ma una scansione antivirus non può far male).

Tuttavia, ci sono altre cose da cercare quando si implementa un sito web di hosting di immagini (o un sito di hosting di file). Hai detto che i file eseguibili non sono consentiti, ma che ne dici dei file PHP? Un utente malintenzionato potrebbe caricare uno script, indovinare dove si trova sul tuo sito Web e fare eseguire il server se, effettivamente, prende il controllo.

Questo post di blog SANS elenca alcune delle cose che dovresti fare per proteggere lo script di caricamento dei file:

• Crea un nuovo nome file per i file caricati in modo che un utente malintenzionato non possa prevedere dove finirà il suo file nel sistema.
• Non inserire i caricamenti nella root dei documenti . Questo è l'unico modo per controllare l'accesso ai caricamenti.
• Le estensioni di file non sono attendibili : controlla l'intestazione Content-Type (o un codice più avanzato basato su numeri magici e formati di file) invece se vuoi impedire qualche file tipi da caricare sul tuo server.
• Limita il numero di caricamenti per impedire attacchi di tipo Denial of Service o persino utenti sconsiderati che riempiono il tuo disco rigido.
• Cerca di tenere traccia di chi carica cosa . In questo modo, se qualcosa va storto, avrai qualche base per le tue indagini.

Non puoi contare sul fatto che ci sia un antivirus / scanner che li blocchi. Se vuoi controllare i file con un antivirus, devi eseguirlo da solo nel tuo uploader.

I file zip sono particolarmente pericolosi, dal momento che possono caricare un .zip contenente un file .exe, un .zip che è un documento di Office infetto, un file .zip che quando viene chiamato da java esegue un virus ...

Ci sono anche file corrispondenti diversi tipi, come la vulnerabilità GIFAR , quindi tu non solo devi controllare che sia del tipo previsto, spesso devi anche controllare che non sia uno di quelli in lista nera.

Inoltre, oltre a fornire la corretta intestazione Content-type, il browser non deve indovinare un MIME pericoloso (un esempio potrebbe trattare un text/plain sicuro come text/html , che potrebbe quindi eseguire pericoloso javascript), qualcosa che IE ha reso particolarmente difficile, a volte ignorando le istruzioni del server.