Rischi per la sicurezza posti dai nomi di file generati dall'utente su un server web [chiuso]

Question

Rischi per la sicurezza posti dai nomi di file generati dall'utente su un server web [chiuso]

#1 da (1 voti)

0

I nomi dei file stessi rappresentano un rischio per la sicurezza?

Abbiamo un server web, gli utenti possono caricare file sul server. I file vengono temporaneamente memorizzati sul server, quindi spostati su S3. I nomi dei file sono registrati nel nostro database MySQL e infine inclusi nel codice HTML & CSS che il nostro server web produce. I nomi dei file stessi non vengono mai modificati da ciò che l'utente carica.

In termini di sicurezza, esiste una vulnerabilità che può essere sfruttata con un semplice nome file? Dovremmo cambiare i nomi dei file dei contenuti caricati, o è sicuro archiviare semplicemente i nomi dei file così come sono?

web-application file-upload

posta Jimmery 07.06.2018 - 12:11

fonte

1 risposta

Leggi altre domande sui tag web-application file-upload

Il server nonce e il client nonce in SSL sono uguali? Cracking delle password tramite hashcat o rainbow tables. Quale è più veloce?

score 1 · Answer 1

Sì, tutti gli input controllati dall'utente rappresentano un potenziale rischio per la sicurezza e non dovrebbero mai essere considerati attendibili.

Tuttavia, se il nome del file è una minaccia per la tua applicazione dipende da come elabora internamente il file e il nome del file. Suggerirei di disinfettare il nome del file quando l'utente esegue il caricamento del file.

Per i casi di test, le best practice e i metodi di prevenzione, consulta la pagina Caricamento file illimitato su OWASP.