Me han proporcionado una especificación para una mejora en uno de los productos de software de mi empresa para permitir la extracción de archivos de compresión cargados (solo Zip actualmente) que guardarán y migrarán los archivos internos al sistema de gestión de registros de los clientes.
Nuestro software es .NET 4.5 en IIS 8.5 y solo me pregunto si debo hacer arreglos con la administración para no aprobar esta solicitud. Siempre me han enseñado a tratar los archivos .Zip con sospecha, y el hecho de que luego pasaré la confianza a la computadora para extraerlos, mirar los archivos y luego moverlos me asusta un poco.
¿Mis preocupaciones son solo noticias antiguas en las que ya no debería preocuparme? Debería sentirme lo suficientemente cómodo como para confiar en que las bibliotecas ZIP de IIS y .NET no terminarán siendo descubiertas ejecutando algún tipo de código remoto. , o migrar un virus a través de la red de clientes.
Por lo general, los archivos se cargan en una ubicación del sistema de archivos hasta que se mueven al sistema de registros, por lo que potencialmente me preocupa tener un archivo .exe que se encuentre suelto alrededor del sistema (aunque en la extracción se pueden eliminar tipos de archivos específicos). Si acabo de transmitir las cargas directamente en el sistema de registros, ¿esto reduciría el riesgo?
Nuestro producto actual solo permite la carga de archivos con png, pdf, docx y otras extensiones basadas en imágenes.
¿Mis preocupaciones son legítimas o debo confiar en que IIS y .NET se manejen correctamente?
También me resulta extremadamente difícil encontrar sitios web basados en información que contengan información para inquietudes específicas relacionadas con tecnologías específicas (IIS, .NET, etc.), incluso OWASP no parece tener información detallada específica. Si alguien tiene buenos sitios web con este tipo de información, proporciónelos.
Gracias,