建议的网站将允许人们在注册时注册工作并上传他们的简历。然后由第三方使用自动ftp传输从服务器接收CV并将其存储在其服务器上。最终用户然后下载所述文件以在其PC上打开。
第三方已经表示他们不会检查文件中的病毒,并且他们认为这是文件传输任何一方人员的责任。
如果我采用相同的方法,并告诉最终用户在上传/下载文件时扫描文件,那么托管该网站的服务器是否存在感染风险?
文件扩展名可能仅限于.pdf,.txt .doc等。
我想避免找到反病毒产品的头痛,如果可能的话,我可以编写脚本来实时扫描文件。
答案 0 :(得分:1)
警告最终用户
您无法确定谁下载这些文件是安全的,甚至无法通过使用某些AV扫描所有这些文件。
如果您可以将AV添加到该服务器(WinServer2012没有集成的Windows Defender?),这显然会更好。
然而,虽然它可能很好并且给用户一种专业的感觉并且增加了安全性的幻觉,但最终用户有责任确保他受到保护。即使是最受信任的网站也可能会出现一些被劫持的附加内容,从而感染其访问者。
在开始下载之前,让用户非常清楚这些文件是由不受您控制的第三方提供的。
我说够了。
其他步骤
您可以将文件类型限制为PDF,TXT文件不是非常专业,并且所有主要的Office应用程序(包括免费)都具有导出为PDF的方式(因此不需要DOC文件)。这减少了攻击面,您甚至可以设法实现自己扫描这些PDF文件的方式。应该有C#库能够读取这些PDF文件并提取任何可疑内容以进行验证,this就是一个很好的例子。