題:
zip文件上傳有哪些安全威脅,應採取哪些預防措施?
wolverine
2013-04-04 12:38:28 UTC
view on stackexchange narkive permalink

我們開發了一個Drupal應用程序來共享文件。

  1. 我們允許已登錄部門的用戶上傳zip文件。
  2. 我們正在使用Drupal私有文件系統(在Webroot外部)。
  3. 我們正在使用php Fileinfo進行驗證。
  4. 只有登錄的用戶才能下載文件。
    5. ol>

    現在,我們的安全團隊不允許上傳zip文件,因為這是一種威脅。我想知道具有此功能的安全威脅以及如何防止此威脅。

這是次要的,但是如果您沒有上載文件夾的執行權限,則無論文件的權限如何,都將無法提供要下載的文件。
安全團隊如何“不允許” zip上傳?是政策問題,還是上傳內容被阻止它的IPS或應用程序防火牆跨越網絡邊界?
我的錯誤@lynks
-1
四 答案:
Rory McCune
2013-04-04 13:25:38 UTC
view on stackexchange narkive permalink

一個區域,ZIP文件可能會對應用程序造成 zip炸彈攻擊風險。發生這種情況的原因是歸檔文件的構建方式使得打開歸檔文件時會佔用服務器上的大量空間,並可能導致崩潰。

也許可以通過在專用文件系統上打開zip文件,然後在達到預定的最大大小時中止解壓縮操作來緩解此問題。

但是我們並沒有解壓縮zip文件,我們只是將其提供下載。
您是否對@user1448660進行病毒掃描?
@user1448660很好,如果您不對內容進行任何處理(如棘輪怪胎所說的A-V掃描),那麼從風險角度看,zip文件與其他可下載文件類型都不會有任何不同。
@ratchet怪胎,不,我們不在處理/掃描
user606723
2013-04-04 17:40:53 UTC
view on stackexchange narkive permalink

沒有安全威脅。至少不是特定於zip文件的文件。

其他用戶已經概述了主要問題。但是,所有這些都不會對應用程序本身有害或對zip文件不是特定的。

  1. Zip Bomb攻擊,如Rory McCune所述。
    僅在將文件解壓縮時才需要擔心。
  2. 在zip文件中包含惡意內容。
    但是,這只會影響實體解壓縮並執行zip文件中的文件。應用程序通常不會這樣做,但是用戶可能會這樣做。
  3. 安全漏洞或惡意可執行文件的問題
    這不僅與zip文件有關,而且與任何其他文件無關文件擴展名。文件是否標記為可執行文件不會阻止其執行。
    4. ol>
他們還說,如果該應用程序與另一個應用程序共同託管,則攻擊者可能在我的應用程序中上載了一些惡意腳本,並以某種方式通過另一個應用程序引用/執行了該腳本。對我來說,了解如何實現是非常模糊的。
@user1448660,當然可以。如果他們能夠找到允許在您的應用程序或其他應用程序上執行代碼的安全漏洞,則他們很可能能夠以自己喜歡的任何方式執行上載的文件。這包括在我的(3)項目符號中。但是,他們可能會使用任何文件擴展名來執行此操作。這不是zip文件的本地問題。
@user1448660,請記住,如果他們找到刪除代碼執行的方法,那麼您已經迷路了。擁有一個他們想要執行的代碼的zip文件可能對他們來說很方便,但是如果他們走了那麼遠,他們會找到另一種方式。
是否有任何機制可以防止其他應用程序訪問文件。
確保設置了正確的安全性程序,以確保承載任何其他應用程序的用戶無法讀取相關目錄。就是設置特定於該應用程序的用戶。除drupal之外,不允許對目錄進行任何讀訪問
Lucas Kauffman
2013-04-04 12:47:07 UTC
view on stackexchange narkive permalink

zip的問題是您真的不確定其中的內容。您需要解壓縮內容,掃描病毒,然後知道其中沒有任何已知的病毒。

第二,在使用文件上傳時,您只能允許一定數量的文件擴展名(白名單而不是黑名單),並且您需要驗證具有此擴展名的文件確實屬於該類型(例如,.bin更改為.txt)。但是每種類型的文件都可以封裝在一個zip文件中。如果將.zip列入白名單,但不檢查內容,則實際上是使白名單過時了。因此,再次需要檢查zip文件的內容,以確保其中僅包含某些類型的文件。

因此,只有在您需要減少可能會使網絡擁塞的大文件上傳時,zip才可行。因為要提供安全性,您仍然需要解壓縮它們並檢查內容。如果這樣做是因為您正在考慮節省磁盤空間,則最好接受常規格式的文件,然後在檢查完文件後自行將其壓縮。

是的,我理解這一點,但這對應用程序用戶是一個安全威脅,對嗎?我們的安全團隊所說的zip文件可能會對應用程序本身構成威脅,這就是我所無法理解的。你知道這怎麼可能嗎?
這是服務器的風險,因為您正在將文件上傳並保存到計算機中,這可能是惡意的。
如果我們不解壓縮zip文件中的惡意文件,我是否可以知道它如何影響服務器?
可能不是。
這些文件中的惡意內容本身是無害的,但是將它們放在您的域中是有風險的,因為您的網站可能被視為惡意軟件分發者,這可能會觸發瀏覽器警告,甚至導致託管人終止與您的合同。
fasmotol
2013-04-04 17:04:32 UTC
view on stackexchange narkive permalink

zip文件相對於av引擎也是攻擊媒介(實際上,av解析的每個文件類型都是媒介)。漏洞利用的情況有所不同,但是范圍從諸如內存損壞到任意代碼執行之類。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...