檔案上傳對於用戶生產力和許多業務服務和應用程式至關重要。例如,檔案上傳是內容管理系統、醫療保健門戶、保險網站和消息傳遞應用程式的重要功能。隨著企業組織逐漸轉移到遠端工作空間,確保檔案上傳的安全性變得日漸重要,如不限制檔案上傳恐將為惡意行為者創建攻擊媒介。
什麼是檔案上傳風險?
允許網站上傳檔案時存在三種風險:
1.對您的基礎設施攻擊:
- 覆蓋現有檔案——如果上傳的檔案與服務器上的現有檔案具有相同的名稱和擴展名,則可能會覆蓋現有檔案。如果被覆蓋的檔案是關鍵文件(例如替換 htaccess 檔案),則新檔案可能被用於發起服務器端攻擊。這可能會導致網站不再運行,或者可能會破壞安全設置以允許攻擊者上傳額外的惡意文件並利用其來勒索贖金。
- 惡意內容——如果上傳的檔案包含可以利用服務器端文件處理漏洞的漏洞應用程式或惡意軟體,則該檔案可能被用來控制服務器,從而導致嚴重的業務後果和聲譽受損。
2. 對您的用戶進行攻擊:
- 惡意內容——如果上傳的檔案包含漏洞利用、惡意軟體等,則該檔案可用於控制受感染用戶的設備。
3. 服務中斷:
- 如果上傳一個過大的檔案,這可能會導致服務器資源的大量消耗並中斷為您的用戶提供的服務。
如何防止檔案上傳攻擊?
為了避免這些類型的檔案上傳攻擊,我們推薦以下十個最佳方法:
- 只允許特定的檔案類型。透過限制允許的檔案類型列表,您可以避免將可執行檔、腳本和其他潛在惡意內容上傳到您的應用程式。
- 驗證文件類型。除了限制檔案類型之外,重要的是要確保沒有文件被“屏蔽”為允許的檔案類型。例如,如果攻擊者將 .exe 重命名為 .docx,而您的解決方案完全依賴於文件擴展名,它會繞過您的檢查,將其視為 Word 文檔,而實際上並非如此。因此,在允許上傳檔案之前驗證檔案類型非常重要。
- 掃描惡意軟體。為了最大限度地降低風險,應掃描所有檔案以查找惡意軟體。我們建議使用多個反惡意軟體引擎(使用特徵碼、啟發式和機器學習檢測方法的組合)對檔案進行多次掃描,以獲得最高的檢測率和最小的惡意軟體破口。
- 消除可能的嵌入式威脅。Microsoft Office、PDF 和圖檔等文件可能在隱藏的腳本和巨集中嵌入威脅,反惡意軟體引擎並非總是能夠檢測到這些威脅。為了消除風險並確保檔案不包含隱藏的威脅,最佳做法是使用一種稱為內容消除和重建 (CDR)的方法來刪除任何可能的惡意嵌入。
- 驗證用戶。為了提高安全性,最好要求用戶在上傳檔案前進行身份驗證。但是,這並不能保證用戶的設備本身沒有受到損害。
- 限制最大名稱長度和最大檔案大小。確保設置最大名稱長度(如果可能,限制允許的字符)和檔案大小,以防止潛在的服務中斷。
- 隨機更改上傳的檔案名稱。使攻擊者無法嘗試使用他們上傳的檔案名稱訪問文件。使用 Deep CDR 時,您可以將淨化後的檔案配置為隨機識別符號(例如the analysis data_id)。
- 將上傳的檔案儲存在網頁根目錄之外。檔案上傳到的目錄應該在網站的公共目錄之外,這樣攻擊者就無法透過分配的URL路徑執行檔案。
- 檢查檔案中的漏洞。確保在上傳軟體和韌體檔案之前檢查它們是否存在漏洞。
- 錯誤訊息精簡化。顯示檔案上傳錯誤時,請勿包含目錄路徑、服務器配置設定或攻擊者可能用來進一步進入您的系統的其他訊息。
來自 OPSWAT 的檔案上傳安全性
OPSWAT 透過 MetaDefender 為檔案上傳安全提供多種解決方案,MetaDefender 是一個高級威脅防禦平台,可使用多個反惡意軟體引擎、內容消除和重建 (Deep CDR) 以及漏洞評估的方式協助防止惡意檔案上傳攻擊。MetaDefender可以透過API或任何支持 ICAP 的網路設備(例如 Web 應用程式防火牆、負載平衡器和應用程式交付控制器)進行部署。
資料來源:OPSWAT Blog
