¿Cuáles son las amenazas de seguridad de las cargas de archivos zip y qué medidas preventivas deben tomarse?

19

Tenemos una aplicación Drupal desarrollada para compartir archivos.

  1. Estamos permitiendo que los archivos zip sean cargados por usuarios registrados en el departamento.
  2. Estamos utilizando el sistema de archivos privado Drupal (fuera de webroot).
  3. Estamos usando php Fileinfo para validación.
  4. El usuario que haya iniciado sesión solo podrá descargar el archivo.

Ahora nuestro equipo de seguridad no está permitiendo subir archivos zip diciendo que es una amenaza. Quiero conocer las amenazas de seguridad al tener esta función y qué puedo hacer para evitarla.

    
pregunta wolverine 04.04.2013 - 09:38
fuente

4 respuestas

12

Un área donde los archivos ZIP podrían presentar un riesgo para la aplicación del ataque zip bomba . esto ocurre cuando un archivo se construye de tal manera que cuando se abre consume una gran cantidad de espacio en el servidor, lo que puede causar que se bloquee.

Podría ser posible mitigar este problema abriendo archivos zip en un sistema de archivos dedicado y luego abortando la acción de descomprimir si se alcanza un tamaño máximo predeterminado.

    
respondido por el Rоry McCune 04.04.2013 - 10:25
fuente
10

No hay amenaza de seguridad. Al menos no alguno que sea específico de archivos zip.

Las principales preocupaciones ya han sido descritas por otros usuarios. Sin embargo, todo esto no es perjudicial para la aplicación en sí o no es específico de los archivos zip.

  1. Ataques de Zip Bomb, como lo describe Rory McCune.
    Esto solo es una preocupación si los archivos se desempaquetarán.
  2. Inclusión de contenido malicioso dentro del archivo zip.
    Sin embargo, esto solo afectaría a las entidades que desempaquetan y ejecutan archivos dentro del archivo zip. Normalmente, una aplicación no haría esto, pero un usuario podría hacerlo.
  3. Preocupaciones de vulnerabilidades de seguridad o ejecutables malintencionados
    Esta no es una preocupación solo de archivos zip, sino de cualquier extensión de archivo. Un archivo marcado como ejecutable no impide su ejecución.
respondido por el user606723 04.04.2013 - 14:40
fuente
8

El problema con un zip es que no estás realmente seguro de lo que hay dentro de ellos. Necesitará descomprimir el contenido, buscar virusses y luego sabrá que no hay virusses conocidos en ellos.

En segundo lugar, cuando los archivos subidos están en uso, solo puede permitir una cierta cantidad de extensiones de archivo (lista blanca en lugar de lista negra) y necesita verificar que los archivos con esta extensión sean de ese tipo (por ejemplo, un .bin cambió a .txt). Pero cada tipo de archivo se puede encapsular en un archivo zip. Si coloca en la lista blanca .zip y no verifica los contenidos, en realidad está haciendo que la lista blanca quede obsoleta. Así que, de nuevo, deberías revisar el contenido del archivo zip para asegurarte de que solo se incluye un cierto tipo de archivos.

Por lo tanto, zip solo sería factible en el caso de que necesite reducir las cargas de archivos grandes que puedan congestionar la red. Debido a que para proporcionar seguridad, todavía necesitarás descomprimirlos y revisar el contenido. Si está haciendo esto porque está pensando en conservar el espacio en el disco, es mejor que acepte los archivos en formato normal y luego los comprima usted mismo después de haberlos comprobado.

    
respondido por el Lucas Kauffman 04.04.2013 - 09:47
fuente
3

También los archivos zip son un vector de ataque contra motores av (en realidad, cada tipo de archivo analizado por av es un vector). La diversidad de la explotación vulnerable difiere, pero van desde algo como corrupción de memoria a ejecución de código arbitrario.

    
respondido por el fasmotol 04.04.2013 - 14:04
fuente

Lea otras preguntas en las etiquetas