我有一个网络服务器供我的客户上传他们的 PDF 文件。我还有一个带有反恶意软件许可证的 IDS/IPS,它位于用户和 Web 服务器之间,可以阻止上传恶意 PDF 文件。问题是,如果它检测到一个 pdf 文件没有再次看到它(意味着它的 SHA),它允许上传它,然后将它发送到专用的沙盒云环境中进行分析。但由于它允许文件,我试图使用在 Web 服务器上运行的代码片段“阻止”包含Javascript或嵌入式文件的 PDF 文件。除此之外,我还应该考虑阻止其他什么吗?
恶意PDF文件上传
信息安全
javascript
上传文件
pdf
2021-09-01 14:12:37
2个回答
通过转换器将它们全部运行为PDF/A 格式。
它禁止任何类型的活动内容。
如果他们不转换,垃圾他们。
带有反恶意软件许可证的 IDS/IPS
扫描是一场失败的战斗。无论您的扫描仪知道要寻找什么,总会有一些它不知道要寻找的新东西。
专用沙盒云环境
这对于通用恶意软件很有用,但对于仅在其目标存在的条件下才会执行其有效负载的目标恶意软件无用。
如果您想确保文件在打开时不会做任何邪恶的事情,请确保它不包含任何可执行文件。您可以通过自己运行转换为不可执行的 PDF/A 来做到这一点。这将创建一个新的、干净的 PDF 文件,根据定义,它不会因为您创建它而受到感染。
由于脚本需要能够检测到恶意内容,因此几乎不可能阻止恶意 PDF 文件的上传。有人可以压缩和加密可以保存在 PDF 中的病毒,如果没有解密密钥,任何分析都无法检测到该病毒。应在服务器上运行防病毒/木马程序套件(例如 Malwarebytes)以隔离(包括删除)发现的任何受感染文件,以便在上传后不会造成任何伤害。您可以阻止所有上传,以确保恶意内容不会通过。
恶意 PDF 文件通常用于针对 PDF 查看器(或其他流行的文件打开程序)中的漏洞,因此最好确保没有 PDF 查看器或其他仅限客户端的应用程序,例如 Adobe 应用程序、Microsoft Office 应用程序(通常是由零日漏洞)安装在上传服务器上。应尽可能锁定服务器上的所有浏览器(如果配置为可以在某些浏览器中查看 PDF 文件,可能会触发诱杀有效负载),并确保没有使用 NodeJS 等 JavaScript 程序。
其它你可能感兴趣的问题