我正在向公众提供网络表单,该表单具有文件上传功能。现在,文件要么保存在Web服务器上,要么作为附件发送到电子邮件中。我们对大小有限制,即15MB和上传文件的扩展名。我们的SMTP服务器位于同一Web服务器上。我担心安全问题,因为任何人都可以上传恶意文件并对我们的生产Web服务器产生影响。
通过公开上传的文件上传控制,我将面临哪些风险?无论如何,有人可以通过上传恶意文件在Web服务器上执行恶意脚本。
我做了一些研究,发现了以下几点
这些只是几点,但我想知道文件上传中的任何盲点。
答案 0 :(得分:7)
要回答有关可能的安全漏洞的问题,是的,即使您没有将文件保存到磁盘,也可以明确地在应用程序和用户中创建漏洞。但是你可以采取一些防线来验证。
首先明确限制可以上传的文件类型,您可以使用白名单并检查扩展程序,但不要停在那里。< / strong>您还应该通过查看文件的内容进行验证,以确保它符合预期的格式。这可能很关键,因为坏人可以将文件头注入上传的文件中,并将您的系统用作僵尸来传播他的恶意软件。
其次,您应对上传的文件执行病毒扫描,您可以使用命令行执行本地病毒扫描程序。对于包括趋势科技在内的许多病毒扫描来说,这很容易做到,除非您正在查看大量的文件上传,否则它不应该对您的服务器征收巨额税。
确保您永远不会传递路径作为用户提交的数据(通过GET或POST下载),因为这会使您暴露于路径遍历攻击。如果您的用户需要从浏览器下载文件,您可以创建一个存储记录位置的数据库,然后创建一个控制器或页面,根据数据库记录和用户访问该记录来获取它,而不是提供用户可以控制并用于从服务器获取文件的路径。
确保您要保存的目录 Web服务器无法读取,这样他们就不会上传恶意软件脚本,然后通过HTTP从浏览器执行
确保您针对某些反XSS库验证所有用户输入(Microsoft提供了一个http://www.microsoft.com/en-us/download/details.aspx?id=28589)
希望有所帮助!
答案 1 :(得分:4)
最好的方法是将它们上传到/ App_Data文件夹或将它们作为二进制对象存储在数据库中。 App_Data无法通过Web服务器读取,因此这将保护您免受执行和脚本访问。将它们存储在二进制文件中的另一种方法是对Base 64进行编码并将它们存储在文本中(再次在文件系统App_Data或数据库中)。
创建代理页以检查用户是否有权查看/下载文件,如果是,则将文件流发送到HTTP响应。这样,用户就无法直接访问,也无法执行任何不应执行的操作。您还可以使用流引用中的SMTP类附加文件。
如果存储在文件系统中,您可以实现自己的命名约定,以便将对实际文件的请求映射到存储的版本。
病毒扫描可能很有用,但请将此视为保护可能有权下载文件的其他用户,而不是保护您的服务器。