上传文件,如果直接上传带病毒的文件,可以攻击到对应服务器吗?
有个文件导入的功能 导入特地格式的文件 服务器进行解析要支持zip压缩包格式的文件 导入后服务端解压并解析包里的文件
我们后端的处理上传文件方式是传到oss 再下载下来解析
问:1.要是压缩包里有木马病毒 服务端防得住吗?
2.我要怎么模拟生成这种带病毒的压缩包去测?
还是说病毒 必须手动去运行才会触发 只是放在压缩包里进行解压是触发不了的? 本帖最后由 dph5199278 于 2024-7-29 20:37 编辑
其实楼上大佬们已经解答了,我说下我的意见:
要支持zip压缩包格式的文件 导入后服务端解压并解析包里的文件
==》
实在怕解析途中运行的话,可以用docker rootless或podman等容器技术或沙盒等技术,在内部进行解析,将解析结果回传
1.要是压缩包里有木马病毒 服务端防得住吗?
==》
如果是你用代码进行解压的话,可以将执行权限去除
2.我要怎么模拟生成这种带病毒的压缩包去测?
==》
可以自己简单写个在当前目录下创建一个文件的程序,解析完,发现这个文件生成了,就当成病毒成功 鄙人拙见:压缩包里边的病毒是触发不了的,必须要解压后再运行才能触发 需要解压 一般木马是需要运行才会触发病毒的传播 本帖最后由 cattie 于 2024-7-29 18:52 编辑
各个系统都有自己抵抗病毒等方式;
linux权限对于新建的文件一般不会给execution权限的;
windows没有管理员权限也不能修改受保护的设置。
所以除非server安装的系统版本存在远程执行漏洞(讲个熟悉的:永恒之蓝),否则一般病毒都是执行不了的。
还有一点,就是服务器接受上传文件的代码中不存在主动“执行文件”操作,否则以上都是白搭 不可以,要执行,才有用。 1、把压缩包解压到没有执行权限的目录就可以了。
2、木马要看具体什么木马,有些事获取服务器权限,有些是攻击浏览器的。 如果是获取服务器权限,第一点可以解决
3、解析文件不一定是执行文件,也有可能是sql攻击脚本,具体看你文件的情况 所有病毒必须要加载到内存中的可执行区域地址才能运行。在缓存区域是无效的。不进内存也是无效的。没有例外 1. 是否存在目录穿越漏洞,比如我可以从传 ../../../../../../1.txt,那这样可能会导致任意文件覆盖
2. 是否存在权限分配不当问题,你的web服务以什么用户权限启动的,尽量非root
3. 是否存在jsp解析,或者类似的web文件后缀解析问题,可以上传webshell,文件白名单可以防止
zip解压缩的实现方式等安全性考虑
页:
[1]
2