.NET extracción y almacenamiento de problemas de archivos de compresión

3

Me han proporcionado una especificación para una mejora en uno de los productos de software de mi empresa para permitir la extracción de archivos de compresión cargados (solo Zip actualmente) que guardarán y migrarán los archivos internos al sistema de gestión de registros de los clientes.

Nuestro software es .NET 4.5 en IIS 8.5 y solo me pregunto si debo hacer arreglos con la administración para no aprobar esta solicitud. Siempre me han enseñado a tratar los archivos .Zip con sospecha, y el hecho de que luego pasaré la confianza a la computadora para extraerlos, mirar los archivos y luego moverlos me asusta un poco.

¿Mis preocupaciones son solo noticias antiguas en las que ya no debería preocuparme? Debería sentirme lo suficientemente cómodo como para confiar en que las bibliotecas ZIP de IIS y .NET no terminarán siendo descubiertas ejecutando algún tipo de código remoto. , o migrar un virus a través de la red de clientes.

Por lo general, los archivos se cargan en una ubicación del sistema de archivos hasta que se mueven al sistema de registros, por lo que potencialmente me preocupa tener un archivo .exe que se encuentre suelto alrededor del sistema (aunque en la extracción se pueden eliminar tipos de archivos específicos). Si acabo de transmitir las cargas directamente en el sistema de registros, ¿esto reduciría el riesgo?

Nuestro producto actual solo permite la carga de archivos con png, pdf, docx y otras extensiones basadas en imágenes.

¿Mis preocupaciones son legítimas o debo confiar en que IIS y .NET se manejen correctamente?

También me resulta extremadamente difícil encontrar sitios web basados en información que contengan información para inquietudes específicas relacionadas con tecnologías específicas (IIS, .NET, etc.), incluso OWASP no parece tener información detallada específica. Si alguien tiene buenos sitios web con este tipo de información, proporciónelos.

Gracias,

    
pregunta Cyassin 11.10.2016 - 01:23
fuente

1 respuesta

2

No tiene mucho que ver con .NET o IIS y aclara que solo estás en riesgo debido al uso de productos de MS. Cuando recibe comentarios del público, de cualquier tipo, debe actuar pesimista. Verifique la entrada y asegúrese de que sea del tipo que está esperando. Hay dos situaciones posibles:

1) No tuvo ningún error en su parte, pero un hacker explota una vulnerabilidad en alguna biblioteca (como zip, por ejemplo). Puede hacer poco al respecto, como usar una máquina virtual separada que no tiene nada sensible y encargada de la gestión de los archivos recibidos, extraerlos y ponerlos a disposición de otras partes del sistema (es preferible tirar por otras partes). Si la máquina virtual no es posible, mantenga el proceso bajo control privilegio bajo. Entonces, en caso de cualquier explotación, su preocupación es simplemente minimizar el daño. Las actualizaciones automáticas de Microsoft disminuyen aprovechando el riesgo de explotaciones de día cero. Tu verdadera preocupación es la número dos.

2) El consejo más importante para la programación de seguridad: no confíe en las opiniones del usuario. Considere la inyección de SQL, XSS, BoF ... Todo sucede debido a la confianza en el tipo, tamaño, formato ... de la entrada del usuario, así que verifíquelo y asegúrese de que es lo que espera de todos los aspectos. Use un antivirus actualizado en la máquina virtual responsable de la administración de archivos y revise los archivos.

Puede recapitularlo como plan A cuando hace todo lo posible por evitar un desastre, plan B, el daño ya ocurrió e intenta minimizar sus consecuencias.

    
respondido por el Xaqron 12.10.2016 - 13:18
fuente

Lea otras preguntas en las etiquetas