Los peligros de PHP que cargan documentos de Word en una cuarentena

Question

Los peligros de PHP que cargan documentos de Word en una cuarentena

#1 de Mark (4 votos)

0

Planeo escribir un script PHP que permita a los usuarios de la web cargar documentos con formato MS Word. Aquí están las precauciones que estoy tomando:

Los nombres de archivo serán creados por mí (algo como YYYY-MM-DD.doc )
Los archivos tendrán 600 o permisos más bajos.
Los archivos no se tocarán hasta que se descarguen a través de FTP.
El tamaño del archivo es limitado.

He estado buscando formas de verificar que un archivo sea un documento de Word válido, pero todas las estrategias parecen defectuosas y consumen mucho tiempo. Una vez que se descargan en una computadora para su revisión, dejo que el antivirus de la computadora tome el control en caso de que un documento de Word válido esté infectado de alguna manera.

¿Poner los archivos en una especie de cuarentena, como se describe anteriormente, mitiga los peligros de no verificar que su palabra esté formateada?

apache php file-upload

pregunta brentonstrine 30.04.2014 - 22:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas apache php file-upload

Acceder a un servidor ftp me da el archivo passwd aunque no hay sombra ¿Cómo asegurar el FTP de mi sitio web?

score 4 · Accepted Answer

¿Qué peligros te preocupan?

¿Le preocupan los peligros para el servidor? Si es así, las precauciones parecen adecuadas: nada de lo que estás haciendo es tratar los archivos como algo más que una colección de bytes, por lo que incluso un archivo con una carga útil dañina no hará nada al servidor.

¿Te preocupan los peligros para otras computadoras? Si es así, sus precauciones son inadecuadas, pero verificar que los archivos sean documentos de Word no será de gran ayuda: el malware creado de forma personalizada puede pasar por delante de un antivirus, e incluso los documentos de Word válidos pueden contener malware.

¿Le preocupa que su servidor se utilice para transmitir material ilegal? En este caso, deberá realizar una inspección profunda, posiblemente manual, de las cargas, ya que un documento de Word puede incrustar imágenes, o puede llevar información clasificada, o ...