Eliminando vulnerabilidades de los archivos cargados

Navega tus respuestas
2

Nuestro sitio web tiene un formulario que permite a los usuarios cargar archivos de imagen (png, gif, jpeg y pdf).

Una vez cargado, el sitio web envía el archivo (de servidor a servidor) a la API de back office, que luego guarda la imagen en el disco.

En la oficina administrativa, nuestros empleados pueden ver las imágenes cargadas por nuestros clientes en un navegador.

En cuanto a la seguridad, si un cliente envía un archivo JPEG infectado y nuestro empleado lo abre en un navegador, esto puede causar problemas de seguridad.

Además de los antivirus, quiero desinfectar los archivos antes de que se escriban en el disco.

Si convierto jpeg a png y png a jpegs, ¿esto los hará seguros de procesar?

¿Hay alguna forma sencilla en .NET para proteger el archivo simplemente convirtiéndolo, o tal vez de otra forma además de la conversión?

    
pregunta Shazam 02.12.2015 - 15:19
fuente

2 respuestas

2

Es un poco difícil dar una respuesta de aplicación universal a esta pregunta, ya que lo que estás buscando son vulnerabilidades en las bibliotecas que procesan los archivos de imagen antes de que se escriban en el disco.

La conversión de la imagen de un formato a otro puede ayudar a eliminar el contenido no válido, sin embargo, el proceso de conversión en sí mismo podría introducir nuevas vulnerabilidades a medida que se procesan los datos.

Como tal, sugeriría que el preprocesamiento (por ejemplo, conversión o validación) de la imagen en un entorno aislado (por ejemplo, una máquina virtual dedicada o un contenedor Docker) sería potencialmente una buena idea para reducir el riesgo de este procesamiento antes de estos imágenes que está viendo su personal.

    
respondido por el Rоry McCune 02.12.2015 - 15:30
fuente
0

Lo que parece que estás tratando de preguntar es qué hacer para protegerse si alguien sube un archivo malicioso con una extensión de tipo de imagen pero no es una imagen en ningún sentido (posiblemente código legible por el navegador) Estoy bastante seguro todo lo que debe defenderse es verificar el tipo MIME antes de permitir que el archivo se cargue.

    
respondido por el Chad Baxter 03.12.2015 - 03:33
fuente

Lea otras preguntas en las etiquetas

Preguntas sobre las variaciones de las claves RSA ¿Cómo almacenar las credenciales de inicio de sesión del cliente?