ورود کاربران

نام کاربری:     کلمه عبور:  
  مرا به یاد داشته باش

رمز عبور خود را فراموش کرده اید؟

ایمیل (نام کاربری):     کلمه عبور به ایمیل شما ارسال خواهد شد.
  گزارش ارزیابی سایت

امنیت سایت: بارگذاری فایل ها

بازگشت به لیست
خلاصه ای از دستورالعمل
نـوع عملیـات : امنیت
اولویت انجـام : بالا
سختی اجراء : زیاد
متوسط امتیاز : 100
مرور دستورالعمل پسوند فایل بهمراه semicolon (;) در IIS وادار می سازد که در خصوص بارگذاری فایل ها قوانینی را بررسی کنیم .البته معمولاً بررسی محتوای فایل کار آسانی نمی باشد . در کل هدف ایجاد مجموعه لایه های امنیتی می باشدجهت کنترل فرایند بارگذاری و همچنین خواندن آن توسط کاربر می باشد. کاربر همیشه به صورت غیر مستقیم در فایل دخل و تصرف خواهد کرد و همچنین بدون کنترل برنامه سیستمی به آن دسترسی نخواهد داشت.
شرح جزئیات

برخی از قوانین بارگذاری فایل ها 

  1. نام فایل ها را قبل از بارگذاری تغییر دهید.
  2. فایل را خارج از مسیر روت سایت بارگذاری کنید.
  3. حجم فایل را بررسی کنید.
  4. پسوند فایل ها را با پسوند های مورد پذیرش خود مقایسه کنید و مراقب باشید قبل از پسوند فایل سمیکالون نباشد.myfilename.asp;,jpg
  5. از اسکنرهای malware استفاده کنید.
  6. قوانین سختگیرانه ای را در زمان آپلود فایل در نظر بگیرید.
  7. فایل های بارگذاری شده بعد از تائید و اعتبار سنجی عمومی کنید.
  8. برای آپلود فایل محدودیت تعداد در نظر بگیرید .

images/uploader/c895fdee-ed54-4d10-b6aa-9e582c66d11f.png

موارد فوق  بیانگر این است که هکر ها با آپلود فایل های اجرائی یا به اصطلاح آنها SHELL می توانند کنترل وب سرور شما را در اختیار بگیرند.یعنی وقتی فایلی با پسوند asp یا php  ( آپاچی ) به همرا سمیکالون قبل از آن، در سایت بارگذاری کنند به راحتی می توانند با فراخوانی آن در واقع فایل اجرائی دلخواه خود را در سرور اجرا کرده و کنترل را بر عهده خود بگیرند.

هکر ها معمولاً در چندین سایت به صورت مخفی shell دارند که بعضاً برای برخی مقاصد از آنها استفاده می کنند و متاسفانه صاحبان سایت ها روحشان هم خبر ندارد.

توصیه می شود یه سری به فایل های سایت خود بزنید پسوند ها را بررسی کنید هیچ چیزی قایل پیش بینی نیست.

هیچ وقت با بررسی سمت کاربر قانع نشوید حتماً و حتماً فایل ها را در سمت سرور قبل از بارگذاری چک کنید.

این مقاله از سایت معتبر SANS انتخاب شده است .



نظرات و پیشنهادات لطفا دیدگاه های خود را در ارتباط با مطلب فوق با ما در میان بگذارید.
ایمیل شما
 
موضوع
نظر / پیشنهاد
 
لطفاً کد موجود در تصویر راوارد کنید