crea un modello appositamente codificato disponibile per i caricamenti di file

1

Un commento a questo post di blog su sans.org sui caricamenti di file sicuri suggerisce di rendere disponibile per gli utenti un modello preformattato quando hanno bisogno di fare upload di file. L'utente dovrebbe utilizzare il modello per aggiungere i propri dati e caricare il file risultante. Suggerisce di "codificare il modello in un modo che un utente malintenzionato avrebbe difficoltà a spoofing ..."

Questo dovrebbe aiutare a bloccare i file dannosi mascherati come i tipi di file corretti.

Funzionerebbe e come si "codificherà" il modello?

    
posta mcgyver5 09.05.2014 - 22:28
fonte

1 risposta

1

In primo luogo, non penso che ciò che il commentatore ha pubblicato sia un grande consiglio generale.

Suppongo che intendano provare a convalidare alcuni attributi del formato di file che ti aspetti. Ad esempio, se ti aspetti un file .docx potresti verificare che sia un archivio contenente una cartella chiamata / word / e che la directory contenga un file chiamato document.xml e che il documento contenga qualche tag / markup sia univoco per il tuo modello o richiesto dai file .docx.

L'idea è che sarebbe difficile per un utente malintenzionato creare un file conforme a questi requisiti ma che è ancora dannoso.

Francamente penso che funzionerebbe solo in alcuni scenari molto specifici e penso che la maggior parte della sicurezza deriverebbe dall'oscurità (cioè l'attaccante non sapendo esattamente quali sono i criteri di convalida).

Il consiglio sull'assegnazione di file a un nome casuale, non sul loro inserimento in una directory accessibile al pubblico, non dà loro permessi di esecuzione, ecc. è più importante.

    
risposta data 11.05.2014 - 02:01
fonte

Leggi altre domande sui tag