¿Cómo probar el comportamiento del virus de back-end?

Navega tus respuestas
0

Tengo un sitio web que permite al usuario cargar archivos. El front-end (nivel web) comprueba la extensión del archivo y los primeros bytes del archivo para el número mágico de un archivo aceptable, pero luego, un proceso backend más completo analiza todo el contenido del archivo utilizando un escáner de virus del lado del servidor. y depurador de contenidos de archivos.

Solo tengo acceso a la interfaz web y necesito pasar un archivo a través de la funcionalidad de carga, de modo que:

  • La extensión del archivo es .doc, .docx, .pdf, .tiff o .tif
  • El número mágico del archivo (los primeros ~ 4-6 bytes, según el tipo de archivo) corresponde al número mágico esperado para la extensión (estas dos primeras viñetas son necesarias para el frente -después de no tirar el archivo inmediatamente cuando está cargado)
  • El contenido del archivo realmente no puede causar daño a alguien si se abre (es decir, un buen detector de virus DEBE detectar un virus, pero el contenido debería ser completamente inofensivo, como la cadena de prueba EICAR)
  • El archivo es lo suficientemente corto como para ser inyectado convenientemente en el HexView de Fiddler durante la solicitud HTTP POST que involucra la carga del archivo, porque no puedo descargarlo en un archivo de mi sistema y subirlo porque McAfee lo detectaría y yo no puedo deshabilitar McAfee en mi sistema
  • (Idealmente) todos los datos en el archivo se pueden representar como imprimibles caracteres UTF-8

El escáner de virus en uso es de McAfee, creo, y debería tener una base de datos de virus similar, actualizada con frecuencia.

Intenté agregar la cadena EICAR a un archivo .tiff, pero esto falló porque se supone que la cadena EICAR no se marca como un virus si no se inicia desde el principio de un archivo ( ignorando los espacios en blanco). Como el número mágico de TIFF / PDF / DOC / DOCX está en la parte frontal, el analizador de virus no cree que es malicioso.

¿Cómo puedo realizar esta prueba sin activar el analizador de virus en mi cliente y sin descargar un archivo realmente dañino?

    
pregunta allquixotic 22.01.2015 - 22:00
fuente

0 respuestas

Lea otras preguntas en las etiquetas

¿Página de bloque extraño en OpenDNS? ¿Cómo conoce RealVNC Enterprise la credencial de mi sistema?