Ho un sito Web che consente all'utente di caricare file. Il front-end (livello Web) controlla l'estensione del file e i primi pochi byte del file per il numero magico di un file accettabile, ma a valle un processo di backend più approfondito analizza l'intero contenuto del file utilizzando uno scanner antivirus sul lato server e scrubber del contenuto del file.
Ho accesso solo al front-end Web e devo inviare un file tramite la funzionalità di caricamento, in modo che:
- L'estensione del file è .doc, .docx, .pdf, .tiff o .tif
- Il numero magico del file (i primi ~ 4-6 byte, a seconda del tipo di file) corrisponde al numero magico previsto per l'estensione (questi primi due proiettili sono richiesti per il fronte -non scaricare immediatamente il file quando viene caricato)
- Il contenuto del file in realtà non ha il potenziale di causare alcun danno a qualcuno se aperto (vale a dire, un buon antivirus DOVREBBE rilevare un virus, ma il contenuto dovrebbe essere effettivamente completamente innocuo, come la stringa di test EICAR)
- Il file è abbastanza breve da essere opportunamente inserito nella HexView di Fiddler durante la richiesta HTTP POST che riguarda il caricamento del file, perché non posso scaricarlo in un file sul mio sistema e caricarlo perché McAfee lo rileva e io impossibile disabilitare McAfee sul mio sistema
- (Idealmente) tutti i dati nel file possono essere rappresentati come stampabili caratteri UTF-8
Lo scanner antivirus in uso è di McAfee, credo, e dovrebbe avere un database di virus simile, aggiornato frequentemente.
Ho provato ad accodare la stringa EICAR a un file .tiff, ma questo non è riuscito perché la stringa EICAR non dovrebbe essere contrassegnata come un virus se non parte dall'inizio di un file ( ignorando gli spazi bianchi). Poiché il numero magico di TIFF / PDF / DOC / DOCX è lì davanti, lo scanner antivirus non pensa che sia dannoso.
Come posso eseguire questo test senza attivare lo scanner antivirus sul mio client e senza scaricare un file effettivamente dannoso?