haga que la plantilla especialmente codificada esté disponible para cargar archivos

Navega tus respuestas
1

Un comentario a esto publicación de blog en sans.org acerca de las cargas de archivos seguras sugiere hacer una plantilla pre-formateada disponible para los usuarios cuando necesiten hacer archivos subidos. El usuario usaría la plantilla para agregar sus propios datos y cargar el archivo resultante. Sugiere "codificar la plantilla de alguna manera que un atacante tenga dificultades para falsificar ..."

Esto supuestamente ayudaría a detener los archivos maliciosos que se hacen pasar por los tipos de archivo correctos.

¿Funcionaría esto y cómo se "codificaría" la plantilla?

    
pregunta mcgyver5 09.05.2014 - 22:28
fuente

1 respuesta

1

En primer lugar, no creo que lo que ese comentarista haya publicado sea un gran consejo general.

Supongo que lo que significan es intentar validar algún atributo del formato de archivo que estás esperando. Por ejemplo, si está esperando un archivo .docx, puede validar que es un archivo que contiene una carpeta llamada / word / y que el directorio contiene un archivo llamado document.xml y ese documento contiene alguna etiqueta / marca que sea exclusiva de su plantilla o requerido por los archivos .docx.

La idea es que sería difícil para un atacante crear un archivo que cumpla con estos requisitos pero que aún sea malicioso.

Francamente, creo que esto solo funcionaría en ciertos escenarios muy específicos y creo que la mayor parte de la seguridad provendría de la oscuridad (es decir, el atacante no sabe exactamente cuáles son sus criterios de validación).

El consejo acerca de asignar un nombre al azar a los archivos, no colocarlos en un directorio de acceso público, no darles permisos de ejecución, etc. es más importante.

    
respondido por el thexacre 11.05.2014 - 02:01
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de cifrar un blob con una clave pública? firmas de ataque [cerrado]