Un exe renombrado que se ejecuta automáticamente

Question

Un exe renombrado que se ejecuta automáticamente

#1 de user2675345 (3 votos)

1

Actualmente estamos desarrollando una aplicación web que permite a los usuarios cargar archivos para que actúen como archivos adjuntos a la información que proporcionan.

Obviamente, permitir que los usuarios carguen cualquier tipo de archivo es muy peligroso, por lo tanto, estamos agregando pasos para detener ciertos archivos.

Principalmente exe y zip. Pero se ha pensado que un usuario podría simplemente cambiar el nombre de un archivo .exe y darle otra extensión. Así que ahora estamos pensando en revisar el archivo del encabezado para asegurarnos de que realmente es el tipo de archivo que dice que es, pero ¿es esto realmente necesario? ¿Habría una manera para que un usuario cambie la extensión y aún tenga el archivo como malicioso o en ejecución automática? ¿Seguramente el cambio de extensión significaría que fue manejado incorrectamente por Windows?

exploit windows file-upload

pregunta Tom.Bowen89 25.03.2014 - 12:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas exploit windows file-upload

¿SHA-1 PRNG aún puede crear claves de cifrado seguras? Microsoft IIS Express

score 3 · Answer 1

Obviamente, permitir que los usuarios carguen cualquier tipo de archivo es muy peligroso

Cualquier cosa que un usuario cargue es solo 0 y 1 hasta que realmente decidas hacer algo con él. Ejecutar tales archivos sería una mala idea, sí.

Sin embargo, los programas ejecutables no se ejecutan automáticamente a menos que se lo indiques. Si se está preguntando sobre el comportamiento de ejecución automática de ciertos medios de almacenamiento, ahora está restringido a solo cds y dvds en las versiones modernas de Windows y no tiene nada que ver con su aplicación web.

Si tiene un conjunto claro de tipos de archivos que está esperando, es decir, solo imágenes, sería fácil crear una lista blanca de firmas de archivos esperadas.

En mi opinión, crear una lista negra de archivos "malos" es una pérdida total de tiempo.

Excluir archivos .exe o cambiar su extensión evitaría que los usuarios descarguen archivos y se disparen a sí mismos, pero con un poco de ingeniería social, los archivos maliciosos se pueden ocultar y utilizar de formas muy creativas. Ver 4chan.js que se cargó como un archivo gif válido para un ejemplo.

Por esa razón, no me molestaría en ir mucho más allá de prohibir las extensiones .exe. Esto no es algo que pueda ser un problema para su aplicación web directamente y usted es el único responsable de proteger a los usuarios de un punto. No se puede esperar que envuelvan burbujas en Internet.