Tôi đang có biểu mẫu web công khai, có khả năng tải lên tệp. Bây giờ các tệp được lưu trên máy chủ web hoặc được gửi dưới dạng tệp đính kèm trong email. Chúng tôi đang có giới hạn về kích thước tức là 15MB và các tệp mở rộng được tải lên. Máy chủ SMTP của chúng tôi nằm trên cùng một máy chủ web. Tôi lo ngại về bảo mật, vì mọi người đều có thể tải lên các tệp độc hại và có thể tác động đến máy chủ web sản xuất của chúng tôi.Bảo mật tải lên tệp Mối quan tâm
Những rủi ro tôi sẽ gặp phải khi kiểm soát tải lên tệp đó có sẵn cho công chúng là gì? Có anyway ai đó có thể thực thi kịch bản độc hại trên máy chủ web bằng cách tải lên tập tin độc hại.
tôi đã làm một số nghiên cứu và phát hiện ra điểm sau đây
- Nếu tôi gửi đi một tập tin đính kèm trong một email, tập tin này sẽ được lưu trữ trong giai đoạn tạm thời trong thư mục Temporary ASP .Net, và một khi email được gửi này sẽ bị xóa.
- Bạn có thể đổi tên tệp trước khi lưu chúng trên hệ thống tệp.
- Bạn có thể lưu tệp ở vị trí khác nhau làm trang web của mình
- Bạn có thể có một số loại kiểm tra vi rút thời gian thực. Tôi không chắc làm thế nào bạn có thể làm điều đó. Tôi đã đọc về một số quét virus dòng lệnh. Nhưng không chắc tôi có thực sự cần điều đó không.
Đây chỉ là vài điểm, nhưng tôi muốn biết về bất kỳ điểm mù nào khi tải lên tệp.
Thực ra, nếu bạn gửi dưới dạng tệp đính kèm, nó sẽ không bao giờ chạm vào đĩa của bạn. – SLaks
Tôi thậm chí sẽ không cố gắng trả lời, tôi thường nhận được phiếu bầu vì không gợi ý điều gì đó kín đáo. Kín kín không có bất kỳ tính năng nào. Điều đó nói rằng, nếu bạn đặt web.config không hợp lệ hoặc web.config không đúng định dạng vào thư mục tải lên, bạn có thể ngăn bất kỳ mã .net nào thực thi. Bạn muốn đảm bảo rằng bạn đang chặn tất cả tiện ích mở rộng ánh xạ tới thứ gì đó thực thi trên máy chủ của bạn, bao gồm .php, .axd, .ashx và v.v. – MatthewMartin
Hãy cẩn thận biểu mẫu của bạn không trở thành đồ chơi yêu thích của người gửi spam. Giới hạn số lượng người có thể gửi đến và tần suất, ngoài việc bảo vệ các rủi ro của tệp. – AlG