Carga de archivos maliciosos de Usablity vs security

1

Diseñamos una aplicación web que tiene una funcionalidad similar a la gestión de vulnerabilidades, la funcionalidad de nuestra aplicación web se puede resumir de la siguiente manera:

  • Hay un panel donde se puede iniciar un programa para enumerar vulnerabilidades
  • Bob lanza su programa a través de nuestra aplicación web
  • Alice informa sobre la vulnerabilidad con un archivo malicioso
  • Bob recibe un informe con un archivo malicioso y recibe una advertencia que indica que la descarga podría tener consecuencias relativas
  • Bob descarga el archivo malicioso y es víctima de Alice

Ahora, según la funcionalidad / usabilidad, mi desarrollador argumenta que.

  • Podemos permitir la carga de archivos maliciosos a la aplicación como su función principal (Alice cargará el archivo vulnerable como prueba de concepto)

  • Estábamos mostrando un mensaje de advertencia, es suficiente para evitar que los usuarios descarguen archivos maliciosos, ya que todos los usuarios serían expertos en tecnología

Ahora mi argumento era el siguiente:

  • El atacante puede utilizar esta plataforma para diseñar el equipo de respuesta del ingeniero social (aquí Bob se infectaría)
  • Como proveedor responsable, los clientes confiarán en nosotros y descargarán el archivo
  • También hice referencia a carga de archivos sin restricciones

Entonces, considerando la situación anterior, cuál sería la mejor opción para evitar que mis clientes sean víctimas de los atacantes.

    
pregunta BlueBerry - Vignesh4303 06.01.2016 - 14:07
fuente

1 respuesta

1

Si no permite que se carguen archivos, los investigadores alojarán su prueba de conceptos en otro lugar y le proporcionarán un enlace al recurso remoto, dejándole con el mismo problema.

La práctica común varía. La popular plataforma HackerOne (que proporciona prácticamente el servicio que describió) permite subir archivos , pero incluye una advertencia apropiada antes de ofrecer la descarga. El programa de recompensas de errores de Google, por otra parte, no permite subidas en su error formulario de informe .

De cualquier manera, su equipo de respuesta debería trabajar en un entorno de espacio aislado y abrir archivos solo si es necesario . No estoy de acuerdo con que las subidas sean " una función principal" , ya que muchas vulnerabilidades se pueden explicar sin adjuntos, pero a través de texto sin formato y fragmentos de código en línea, aunque sus clientes podrían pensar lo contrario.

Alojar los archivos adjuntos de forma segura es un tema en sí mismo, pero lo más importante es que debe almacenar todas las cargas de usuarios en un servidor separado de su aplicación web.

    
respondido por el Arminius 06.01.2016 - 21:50
fuente

Lea otras preguntas en las etiquetas