アップロードされたファイルの安全性を確保する
https://stackoverflow.com/questions/33086
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
上司が私のところに来て、Web ページからアップロードされたファイルが安全であることを確認する方法を尋ねてきました。彼は、人々が PDF や TIFF 画像 (など) をアップロードできるようにしたいと考えています。彼の本当の懸念は、誰かが PDF にウイルスを埋め込み、それが閲覧/改ざんされる (そしてウイルスが実行される) ことです。最下位ビットを変更することで画像に埋め込まれた速記情報を破壊するために使用できる手順に関する記事を読みました。同様のプロセスを使用して、ウイルスが埋め込まれないようにすることはできるでしょうか?ファイルをスクラブできるプログラムを知っている人はいますか?
アップデート:そこでチームはこれについて少し議論し、ある開発者が、ファイルをファイル システムにダウンロードさせ、ネットワークを保護するウイルス対策ソフトウェアにそこでファイルをチェックさせるという投稿を見つけました。投稿者は基本的に、いくつかの製品では API またはコマンド ラインを使用するのは難しすぎると述べています。ファイルをデータベースに保存する予定なので、これは私には少し面倒に思えますが、これまでファイルのウイルスをスキャンする必要はありませんでした。これについて何か考えたり経験したりする人はいますか?
http://www.softwarebyrob.com/2008/05/15/virus-scanning-from-code/
解決
アップロードしたファイルは、次のようなウイルス対策ソフトウェアを通じて実行することをお勧めします。 ClamAV. 。ウイルスを除去するためのファイルのスクラブについてはわかりませんが、これにより、少なくとも感染したファイルを表示する前に検出して削除することができます。
他のヒント
画像ファイルに埋め込まれたウイルスがアプリケーションにとって大きな問題になる可能性は低いです。問題となるのはJARファイルです。JAR トレーラーを含むイメージ ファイルは、アプリケーションとサーバーを指す同一生成元バインディング (Cookie) を使用して、インターネット上の任意のページから Java アプレットとしてロードできます。
画像のアップロードを処理する最善の方法は、画像をトリミング、拡大縮小し、別の画像形式に変換することです。画像のサイズ、ハッシュ、チェックサムは、変換前と変換後では異なる必要があります。たとえば、Stack Overflow の「バディ アイコン」を提供する Gravatar では、画像をトリミングして PNG に変換する必要があります。
Word または Acrobat の脆弱性を悪用する悪意のある PDF または DOC ファイルを作成することは可能ですか?おそらく。しかし、ClamAV はこれらの攻撃を阻止するのにあまりうまく機能しません。これらは「ウイルス」ではなく、ビューア ソフトウェアの脆弱性です。
会社の予算によって異なりますが、Web サーバーと外部の間にこれらの機能を実行できるハードウェア デバイスとソフトウェア アプリケーションがあります。これらの中には、ウイルス対策ソフトウェアが組み込まれたハードウェア ファイアウォールもあります。アプリケーション ゲートウェイまたはアプリケーション プロキシと呼ばれることもあります。
Clam-AV を使用するオープンソース ゲートウェイへのリンクは次のとおりです。http://en.wikipedia.org/wiki/Gateway_Anti-Virus http://gatewayav.sourceforge.net/faq.html
おそらく、実際のウイルス スキャナをアップロード プロセスにチェーンする必要があります (多くのウイルス スキャナがブラウザにダウンロードしたファイルの安全性を確認するのと同じ方法です)。
これを自分で行うには、ウイルス定義のライブラリを常に最新の状態に保つ必要がありますが、これはアプリケーションの範囲を超えている可能性があります (組織の規模によっては実現できない場合もあります)。 )。
はい、ClamAV は拡張子に関係なくファイルをスキャンする必要があります。
次のようなリバース プロキシ設定を使用します。
www <-> HAVP <-> ウェブサーバー
HAVP (http://www.サーバーサイド.de/) は httpトラフィックをスキャンする方法 ClamAV またはその他の市販のウイルス対策ソフトウェアを使用します。これにより、ユーザーは感染したファイルをダウンロードできなくなります。https またはその他のものが必要な場合は、HAVP の前に SSL を処理できる別のリバース プロキシまたは Web サーバーをリバース プロキシ モードに設定できます。
ただし、アップロード時には機能しないため、ファイルがサーバーに保存されることは妨げられませんが、 ファイルがダウンロードされて伝播されるのを防ぎます. 。そのため、通常のファイル スキャン (clamscan など) と併用してください。
