Rischi per la sicurezza con la gestione degli archivi ZIP nelle applicazioni web

Naviga le tue risposte
0

Sto ricercando possibili rischi per la sicurezza quando gestisco file ZIP o archivi in generale, nelle applicazioni web.

Lo scenario è il seguente. L'utente è in grado di caricare qualsiasi file ZIP (o in generale un archivio), l'applicazione Web estrae il suo contenuto e successivamente offre di nuovo il download dei file estratti.

Mi sono imbattuto in una serie di possibilità che potrebbero essere sfruttate.

  • DoS con una bomba ZIP (ad esempio 42.zip )
  • Scrittura di file arbitrari, con relativi percorsi di file (vedi evilarc )
  • Lettura di file arbitrari, con collegamenti simbolici (vedi Come funziona zip symlink? )
  • Presumo problemi con i file ZIP poliglotta

Le risorse sull'argomento sembrano piuttosto limitate e sono sicuro che ci sono più rischi associati.

Quali sono i possibili rischi per la sicurezza delle applicazioni Web che gestiscono i file ZIP / di archivio?

e

Come possono essere elaborati in modo sicuro?

    
posta SaAtomic 28.08.2017 - 10:42
fonte

1 risposta

1

E l'esecuzione di codice remoto, ad es. CVE-2016-2334

Non esiste un modo sicuro al 100% per elaborarli, tuttavia alcune misure di attenuazione servono a garantire che qualsiasi processo utilizzato per decomporre un file di archivio sia eseguito con il minimo privilegio possibile e per limitare la durata della scomposizione di un singolo archivio.

    
risposta data 28.08.2017 - 13:32
fonte

Leggi altre domande sui tag

Gli identificativi CVE sono assegnati per pacchetti software proprietari? [duplicare] Snort: impossibile decodificare il tipo di collegamento dati 127 leggendo un file pcapng