Sikkerhed ved upload ?

Læs de første 4 bytes.

Hvis det er en PDF fil så skal de være "%PDF".

kan du uddybe det en smule og gerne i vb.net

der må jo være noget jeg skal tjekke op imod ala file.postedfile.etellernadet = "%pdf", men hvad skal der til istedet for "etellernadet" ?

Som arne_v skriver. Men derudover vil jeg da gerne påpege at:

1) Selv om det er en malware .exe, .com, .dll (eller anden ekstension) -fil, og den omdøbes til .pdf så kan den ikke efterfølgende afvikles af den grund.

2) Den skulle i givet fald omdøbes tilbage til .exe for at fungere og dette ville kræve at would-be hackeren skal have adgang til at omdøbe filer på serveren.

3) Hvis hackeren er i stand til dette, så er sikkerheden allerede kompromitteret alene af den grund, og så er det lidt lige meget at bekymre sig om en pdf/exe-fil kan omdøbes.

4) Selv hvis det skulle kunne lade sig gøre at omgå punkterne 1-3, så skal filen også eksekveres for at kunne lave sit snavs. Det er ikke nok at filen ligger på serveren. Hvis hackeren kan eksekvere filen, eller han kan lokke andre til at gøre det for sig, så er sikkerheden endnu mere kompromitteret end under punkt 3.

Dim fs As FileStream = New FileStream("C:\z.pdf", FileMode.Open, FileAccess.Read)
        Dim b(3) As Byte
        fs.Read(b, 0, b.Length)
        fs.Close
        Dim hdr As String = Encoding.Default.GetString(b, 0, b.Length)
        Dim pdf As Boolean = hdr.Equals("%PDF")

erstat C:\z.pdf med navnet på din fil

nielle>

sikkerheds risikoen for serveren må være nul uanset hvad

pointen må være at beskytte dem som downloader filen

Heller ikke hvis en bruger downloader den omdøbte .exe -> .pdf fil, så ville der ikke være fare for vedkommende med mindre at filen aktivt - af brugeren - blev omdøbt tilbage til .exe.

rigtigt - men der er mange brugere som ville kunne narres til det

jeg ved heller ikke om jeg ville checke på det (nogle brugere er bare
umulige at beskytte), men nu spurgte websam om man kunne

Jeg vil bare ikke sidde og lave en løsning for en kunde og så lave noget halvt færdigt derfor kan jeg lige så godt tjekke op på det så har jeg mit på det tørre hvis der skulle komme nogte senere hen :o)

arne >> Nu kan jeg se du skriver :

Dim fs As FileStream = New FileStream("C:\z.pdf", FileMode.Open, FileAccess.Read)

Kunne det ikke være :

Dim fs As FileStream = New FileStream(File.PostetFile.Filename, FileMode.Open, FileAccess.Read)

Da jeg jo vil tjekke op på det inden filen uploades ?

Og noget i denne stil hvis jeg laver det som en function ? :

Public Shared Function chkFileByte(ByVal strFile As String)
    Dim fs As FileStream = New FileStream(strFile, FileMode.Open, FileAccess.Read)
    Dim b(3) As Byte
    fs.Read(b, 0, b.Length)
    fs.Close
    Dim hdr As String = Encoding.Default.GetString(b, 0, b.Length)
    Dim pdf As Boolean = hdr.Equals("%PDF")
End Function

/Websam

Jeg synes nu ikke at det fremgik helt klar af spørgsmålet hvem eller hvad det var som skulle beskyttes. Brugerne af sitet blev dog ikke nævnt - andet end i deres aggressive rolle som potentiel hacker.

Eller kan jeg først gøre det når filen ligger på selve serveren ?

/Websam

Nielle >> nej det gjorde det heller ikke, for hvis jeg bare forhindre det igennem koden opstår problemet aldrig :o)

/Websam

websam> Hvis du vil beskyttet sitet imod onde hensigter så skulle du helt klar hellere bekymre dig om emner som SQL-injection og cross-site scripting i stedet.

jo det kan du sagtens

(bemærk dog at det er efter at filen er uploadet men før filen flyttes
til sin endelige desitnation)

ja det er jeg med på upload > check > slet eller gem :o) Jeg forsøger mig frem og vender tilbage med resultatet :o) og det er File.PostetFile.FileName Eller ?

/Websam

hvis du vil checke inden final destination - hvilket lyder logisk

Cool jeg prøver :o)

/Websam

nej, man kan ikke bruge FileName til at åbne en filestream, da den givne fil ikke findes fysisk nogen steder..

du skal istedet læse fra PostedFile.InputStream

all set ?

Jeg har haft lidt meget om ørene den seneste tid, men jeg skal nok få kigget det igennem, så vender jeg tilbage senere med resultatet :o)

/Websam

Lukketid?

Så har jeg lidt tid til at kigge på det :o)

Jeg skal lige høre hvad min Imports skal være til denne :

Encoding.Default.GetString(b, 0, b.Length)

eller er der noget jeg misser ?

/Websam

Da encoding kommer med fejl :

Name 'Encoding' is not declared

System.Text

tror jeg

det var det

Ok så kommer der lige lidt mere jeg tester lige pt med dette :

Response.Write(objMediaBiz.chkFileByte(txt_IconUpload.PostedFile.InputStream))

Som referer til denne function :

Public Function chkFileByte(ByVal strFile As )
        Dim fs As FileStream = New FileStream(strFile, FileMode.Open, FileAccess.Read)
        Dim b(3) As Byte
        fs.Read(b, 0, b.Length)
        fs.Close()
        Dim hdr As String = Encoding.Default.GetString(b, 0, b.Length)
        Dim pdf As Boolean = hdr.Equals("%PDF")
        Return pdf
    End Function

men hvad skal jeg have efter as i denne :

ByVal strFile As ????

/websam

String

vil jeg tro

Nej for den giver dette :

Value of type 'System.IO.Stream' cannot be converted to 'String'.

Public Function chkFileByte(ByVal fs As Stream)
        Dim b(3) As Byte
        fs.Read(b, 0, b.Length)
        Dim hdr As String = Encoding.Default.GetString(b, 0, b.Length)
        Dim pdf As Boolean = hdr.Equals("%PDF")
        Return pdf
    End Function

Det gav det ønskede resultat, tak for hjælpen ;o)

/Websam

check lige at de 3 bytes ikke mangler i filen fordi vi har læst dem her !!!

Hvad mener du ?

vi læser 3 byte her

jeg blev lige bange for om de manglede i filen så

(det afhænger af hhvor du kalder den i upload processen)

Det gør jeg som det første inden jeg foretager mig andet !?!

/Websam

eller nærmere forstået ved button klik laver jeg en :

If Not objMediaBiz.chkFileByte(txt_IconUpload.PostedFile.InputStream) Then
  '--- filen må ikke gemmes
Else
  '--- filen må gerne gemmes
End If

hvis de 3 byte mangler så kalder du bare

fs.Seek(0, SeekOrigin.Begin);

efter at have læst de 3 byte for at spole tilbage

ok så skal jeg jo have lagt det ind efter opload og ikke som det første

Og så lige den sidste ting vil følgende fil formater så skulle oversættes til :

.jpg = %JPG
.gif = %GIF
.png = %PNG
.doc = %DOC
.xls = %XLS

eller er jeg helt galt på den der ???

/Websam

ja - de har sandsyneligvis en anden form for header

NB: ovenfor snakker jeg om 3 byte - det er jo faktisk 4 byte

Hvad mener du med en anden header ?

Og så skal det være :

Dim b(4) As Byte

istedet for :

Dim b(3) As Byte

eller ?

/Websam

at hver fil har et forskelligt indhol i starten (header)

----

nej

Dim b(3) As Byte

er jo netop 4 byte (index 0 1 2 3)

Ok det vil sige at jeg ikke kan være 100 % sikker på at det er :

.jpg = %JPG
.gif = %GIF
.png = %PNG
.doc = %DOC
.xls = %XLS

der er det rigtige ?

/Websam

du kan være 98% sikker på at det *IKKE* er tilfældet

BMP bruger f.eks 2 byte med værdien 0x4D42 i starten

GIF indeholde "GIF" i de første 3 byte

de første 8 byte af en PNG fil er

137 80 78 71 13 10 26 10

Er der nogle steder på nettet hvor jeg kan finde de rette headere til de omtalte filer så ?

du er nødt til at google efter beskrivelser af formaterne og læse dem