测试不可信图片上传的安全性
Testing security of untrusted image upload
我需要测试我的网站如何处理嵌入了恶意软件的图像文件。我已经对它使用 header 检查对文件类型的验证感到满意。我希望使用带有嵌入式恶意软件的真实图像文件对其进行测试。
我可以得到一个应该被识别为恶意软件的 jpg 来测试这个吗?还是自己做一个?
或者如果有更好的方法,我怎样才能确保一切都连接好并正常工作?
它将部署在 Azure 上,并将图像保存到 Azure Blob 存储中。我想使用 [新] Azure 存储安全服务来检测恶意软件。
通常很难使用真正的恶意软件进行测试。您需要能够在测试环境中小心处理该文件,以免感染您的系统,或者逃逸到网络的其余部分。
为了方便测试反恶意软件解决方案供应商提供了一些测试文件。这些是被检测为恶意文件的良性文件。因此,在您的环境中使用它们是安全的,但可以作为您解决方案的良好测试用例。
有一个行业标准文件(EICAR) which is available for testing anti-malware solutions. As you can see from VirusTotal几乎每个供应商都会将此文件检测为恶意文件。他们中的许多人将其识别为测试文件。
在您的特定用例中,这里存在一个挑战,它不是图像文件。但是,正如您在评论中提到的,我认为在此测试期间关闭图像检测比使用真正的恶意软件进行测试要好得多。
最后,请注意 EICAR。由于有如此多的产品将其检测为病毒,因此您需要小心 运行ning 在文件最终所在的系统上的反恶意软件解决方案。例如,如果您的开发环境包含尝试 运行 的按访问扫描程序,则测试可能会触发按访问扫描程序。
我需要测试我的网站如何处理嵌入了恶意软件的图像文件。我已经对它使用 header 检查对文件类型的验证感到满意。我希望使用带有嵌入式恶意软件的真实图像文件对其进行测试。
我可以得到一个应该被识别为恶意软件的 jpg 来测试这个吗?还是自己做一个?
或者如果有更好的方法,我怎样才能确保一切都连接好并正常工作?
它将部署在 Azure 上,并将图像保存到 Azure Blob 存储中。我想使用 [新] Azure 存储安全服务来检测恶意软件。
通常很难使用真正的恶意软件进行测试。您需要能够在测试环境中小心处理该文件,以免感染您的系统,或者逃逸到网络的其余部分。
为了方便测试反恶意软件解决方案供应商提供了一些测试文件。这些是被检测为恶意文件的良性文件。因此,在您的环境中使用它们是安全的,但可以作为您解决方案的良好测试用例。
有一个行业标准文件(EICAR) which is available for testing anti-malware solutions. As you can see from VirusTotal几乎每个供应商都会将此文件检测为恶意文件。他们中的许多人将其识别为测试文件。
在您的特定用例中,这里存在一个挑战,它不是图像文件。但是,正如您在评论中提到的,我认为在此测试期间关闭图像检测比使用真正的恶意软件进行测试要好得多。
最后,请注意 EICAR。由于有如此多的产品将其检测为病毒,因此您需要小心 运行ning 在文件最终所在的系统上的反恶意软件解决方案。例如,如果您的开发环境包含尝试 运行 的按访问扫描程序,则测试可能会触发按访问扫描程序。