يعد تحميل الملفات أمرًا ضروريًا لإنتاجية المستخدمين والعديد الخدمات التجارية. على سبيل المثال، يعد تحميل الملفات وظيفة مهمة لأنظمة إدارة المحتوى وبوابات الرعاية الصحية ومواقع التأمين وتطبيقات المراسلة. مع انتقال المؤسسات إلى أماكن عمل عن بُعد وبعيدة، يصبح من المهم بشكل متزايد تنفيذ تدابير لضمان أمان تحميل الملفات، لأن ترك تحميل الملفات دون قيود يخلق ناقل هجوم للمتطفلين.
ما هي مخاطر تحميل الملفات؟
هناك ثلاثة أنواع من المخاطر عند السماح بتحميل الملفات على موقعك:
1. الهجمات على البنية التحتية الخاصة بك:
- الكتابة فوق ملف موجود - إذا تم تحميل ملف بنفس الاسم والامتداد مثل ملف موجود على الخادم ، فقد يؤدي ذلك إلى الكتابة فوق الملف الموجود. إذا كان الملف الذي تم استبداله هو ملف مهم (على سبيل المثال ، استبدال ملف htaccess) ، فمن المحتمل استخدام الملف الجديد لشن هجوم من جانب الخادم. قد يتسبب هذا في توقف موقع الويب عن العمل ، أو قد يؤدي إلى اختراق إعدادات الأمان للسماح للمهاجمين بتحميل ملفات ضارة إضافية واستغلالك للحصول على فدية.
- المحتوى الضار - إذا كان الملف الذي تم تحميله يحتوي على ثغرة أو برامج ضارة يمكنها الاستفادة من ثغرة أمنية في معالجة الملفات من جانب الخادم ، فيمكن استخدام الملف للتحكم في الخادم ، مما يتسبب في عواقب تجارية وخيمة وإلحاق أضرار بالسمعة.
2. الهجمات على المستخدمين:
- المحتوى الضار - إذا كان الملف الذي تم تحميله يحتوي على ثغرة أو برامج ضارة أو برنامج نصي ضار أو ماكرو ، فيمكن استخدام الملف للتحكم في أجهزة المستخدمين المتضررين.
3. انقطاع الخدمة:
- إذا تم تحميل ملف كبير للغاية ، فقد يؤدي ذلك إلى ارتفاع استهلاك موارد الخوادم وتعطيل الخدمة للمستخدمين.
كيفية منع هجمات تحميل الملفات
لتجنب هذه الأنواع من هجمات تحميل الملفات، نوصي بأفضل عشر ممارسات التالية:
1. السماح فقط بأنواع ملفات محددة. من خلال تقييد قائمة أنواع الملفات المسموح بها، يمكنك تجنب تحميل الملفات التنفيذية والبرامج النصية والمحتويات الأخرى التي يحتمل أن تكون ضارة إلى التطبيق الخاص بك.
2. تحقق من أنواع الملفات. بالإضافة إلى تقييد أنواع الملفات ، من المهم التأكد من عدم وجود ملفات "مقنعة" كأنواع الملفات المسموح بها. على سبيل المثال ، إذا قام أحد المهاجمين بإعادة تسمية .exe إلى .docx ، وكان الحل الخاص بك يعتمد كليا على امتداد الملف ، فسيتجاوز التحقق كمستند Word وهو في الواقع ليس كذلك. لذلك ، من المهم التحقق من أنواع الملفات قبل السماح بتحميلها.
3. البحث عن البرامج الضارة. لتقليل المخاطر ، يجب فحص جميع الملفات بحثا عن البرامج الضارة. نوصي بإجراء فحص متعدد للملفات باستخدام محركات متعددة لمكافحة البرامج الضارة (باستخدام مجموعة من التوقيعات والاستدلال وطرق اكتشاف التعلم الآلي) من أجل الحصول على أعلى معدل اكتشاف وأقصر نافذة للتعرض لتفشي البرامج الضارة.
4. إزالة التهديدات المضمنة المحتملة. يمكن أن تحتوي ملفات مثل Microsoft Office و PDF وملفات الصور على تهديدات مضمنة في البرامج النصية ووحدات الماكرو المخفية التي لا يتم اكتشافها دائما بواسطة محركات مكافحة البرامج الضارة. لإزالة المخاطر والتأكد من أن الملفات لا تحتوي على تهديدات خفية، من أفضل الممارسات إزالة أي كائنات مضمنة محتملة باستخدام منهجية تسمى نزع سلاح المحتوى وإعادة بنائه (CDR).
5. مصادقة المستخدمين. لزيادة الأمان ، من الممارسات الجيدة مطالبة المستخدمين بمصادقة أنفسهم قبل تحميل ملف. ومع ذلك ، هذا لا يضمن عدم اختراق جهاز المستخدم نفسه.
6. تعيين الحد الأقصى لطول الاسم والحد الأقصى لحجم الملف. تأكد من تعيين الحد الأقصى لطول الاسم (تقييد الأحرف المسموح بها إن أمكن) وحجم الملف لمنع انقطاع الخدمة المحتمل.
7. Randomize uploaded file names. Randomly alter the uploaded file names so that attackers cannot try to access the file with the file name they uploaded. When using Deep CDR™ Technology, you can configure the sanitized file to be a random identifier (e.g. the analysis data_id).
8. تخزين الملفات التي تم تحميلها خارج مجلد جذر الويب. يجب أن يكون الدليل الذي يتم تحميل الملفات إليه خارج الدليل العام لموقع الويب حتى لا يتمكن المهاجمون من تنفيذ الملف عبر عنوان URL للمسار المعين.
9. تحقق من وجود ثغرات في الملفات. تأكد من التحقق من وجود ثغرات أمنية في ملفات البرامج والبرامج الثابتة قبل تحميلها.
10. استخدم رسائل خطأ بسيطة. عند عرض أخطاء تحميل الملفات، لا تقم بتضمين مسارات الدليل أو إعدادات تكوين الخادم أو المعلومات الأخرى التي يمكن أن يستخدمها المهاجمون للحصول على مزيد من الدخول إلى أنظمتك.
مدونة: 13 أفضل ممارسات أمان التطبيقات المثبتة
أمان تحميل الملفات من OPSWAT
OPSWAT offers multiple solutions for File Upload Security with MetaDefender, an advanced threat prevention platform that helps prevent malicious file upload attacks using multiple anti-malware engines, content disarm and reconstruction (Deep CDR™ Technology), and vulnerability assessment. MetaDefender can be deployed via an API or with any ICAP enabled network device such as web application firewalls, load balancers and application delivery controllers.
هل تريد معرفة المزيد حول كيفية حظر تحميلات الملفات الضارة؟ قراءة المستند التقني الخاص بناكيفية حظر تحميلات الملفات الضارة باستخدام OPSWAT واجهات برمجة التطبيقات.
