¿Debo cambiar el formato y / o agregar datos a los archivos de imágenes en una carga de archivos?

0

Estoy diseñando una plataforma de carga de imágenes para mi sitio web y estaba pensando en algunas recomendaciones que encontré en línea que NO se describieron en Lista de carga de archivos sin restricciones OWASP .

Esas soluciones de seguridad:

  1. Cambiar el formato del archivo (por ejemplo, de .jpeg a .bmp o .png a .bmp, etc.).
  2. Representar la imagen / comprimirla y volver a cargar el nuevo archivo

¿Son esas dos soluciones útiles? Si es así, ¿por qué? Si decidiera usar esas técnicas, en caso de tiempo frente a seguridad, ¿valen las dos soluciones?

    
pregunta a.k 10.10.2017 - 11:10
fuente

2 respuestas

0

Al cambiar el formato, un usuario malintencionado no puede forzar un determinado comportamiento por parte del cliente. Si existe una vulnerabilidad de jpeg en un visor conocido, al cambiar la imagen a png, el actor malintencionado no puede usar esa técnica.

Volver a renderizar la imagen hace lo mismo. Un actor malintencionado no puede incrustar código malicioso para afectar a sus usuarios.

Cambiar el formato y volver a renderizar no debería llevar mucho tiempo, pero debe presupuestar los recursos de su servidor para que no se quede sin recursos.

    
respondido por el schroeder 10.10.2017 - 11:29
fuente
0

Cualquier vulnerabilidad en el archivo es muy poco probable para sobrevivir al cambiar el formato del archivo. También recomendaría eliminar o desinfectar cualquier metadato en el archivo. El remuestreo del archivo podría ser un poco menos efectivo (pero solo marginalmente).

Sin embargo el servidor web ahora está procesando activamente el contenido y puede estar utilizando las mismas bibliotecas que los objetivos de explotación. es decir, debe pensar si se está disparando a sí mismo al intentarlo; Si su servidor está comprometido, el atacante obtiene el control sobre el contenido enviado a los clientes.

También abre la puerta a los ataques de DOS: la manipulación de imágenes como esta requiere que el archivo se convierta en un mapa de bits. Me imagino que sería relativamente fácil crear una bomba zip como un archivo de imagen.

    
respondido por el symcbean 10.10.2017 - 13:58
fuente

Lea otras preguntas en las etiquetas