讓用戶上傳視頻和文本文檔有哪些安全問題？

Question

我想讓用戶（即任何註冊帳戶的人）上傳和下載視頻和文本文檔。我一直在研究有關讓用戶上傳文件的安全問題，但是我可以找到關於此主題的所有內容都假定用戶只會上傳圖片。

是否有特定的安全問題讓用戶上傳視頻和文本文檔？當用戶可以以視頻大小上傳文件時，安全性會更加困難嗎？有什麼特別的文件擴展名我應該注意？

Answer 1

您可以病毒檢查每個上傳的文件。如果您查看大多數基於Web的電子郵件客戶端，您會在上傳文件時看到它們由McWhoever檢查。通常你不應該讓他們上傳exe文件，但檢查擴展是一個非常基本的（不可靠的）方法。

Answer 2

使上傳非常安全非常困難。

有很多事情要檢查 - 文件擴展名只是其中的一部分。下面是其中必須至少檢查幾件事情：

• 文件擴展名（如你已經提到）
• MIME類型
• 文件大小
• 取決於用戶：或許檢查用的ClamAV的上傳...

Answer 3

問題是這樣的：如果你讓用戶上傳視頻，圖片和文本文件，其中一些會嘗試上傳病毒，服務器端腳本和其他惡意代碼。這樣的代碼會讓你的網站用戶在你自己的網站上下文中看到那些用戶上傳的「壞東西」。

如果你允許這種上傳，你必須非常小心，你只保存你計劃的實際類型的文件 - 而不是通過查看文件擴展名。您還必須確保將這些文件放置在禁用執行/腳本權限的位置。

病毒檢查是必須的 - 但它是還不夠。 PHP腳本可能根本不會引發病毒警告，但同一腳本可能會泄露您網站的重要信息，或者在執行時導致其他不好的事情發生。

您必須檢查文件的內容 - 永不依賴於客戶端報告的擴展名或MIME類型。那些很容易被僞造。

Answer 4

從您已禁用服務器端代碼執行的位置提供您的下載。這是你需要做的，以保護自己免受服務器端漏洞攻擊。依靠文件擴展名或其他類似的東西都是黑客。

如果您想要全面保護您的用戶（以及間接您的網站），則需要通過合適的病毒掃描程序運行這些文件。有可能，也有現實生活中的例子，利用視頻解碼器和此類軟件來運行任意代碼。但是如果你開始沿着這條線走下去，你也可以爭辯說某些文本字符串可能會在某些軟件中引發奇怪的行爲，並且開始變得愚蠢。幸運的是，編寫病毒掃描程序的人將爲您完成大部分工作。所以：

1. 絕對不要執行，什麼是上傳
2. 如果你覺得它的需要，病毒掃描他們。

Answer 5

要在這裏回答你的問題是元攻擊：

1. 壞人上傳二進制您 服務器，也許是壓縮文件，並 改擴建欺騙你 過濾器爲.avi
2. 利用CGI腳本中的bug到 從＃1解壓縮avi
3. 利用另一個CGI中的bug到 從＃2 - >後門 執行文件安裝
4. 後門訪問和安裝隱藏的步驟 1,2,3

以上的一些變化是，當服務器被泄露什麼通常發生的所有證據的rootkit 。