Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + Tecnología especializada
DXST - SAST - IAST - SCA - DevSecOps
Caja blanca - Caja gris - Caja negra
Atacando Aplicaciones Web, APIs, Apps Móviles,
Cliente Servidor, Servidores, Redes, Dispositivos IoT
IoT SCI: Sistemas de Control Industrial

REQ.040 Contrastar formato y extensión de archivos

En el presente documento se detallan los requerimientos de seguridad relacionados a la gestión de archivos dentro de la organización. Por lo tanto, en este requerimiento se recomienda que los formatos de los archivos correspondan a la extensión especificada por los mismos.

Requisito

El sistema debe validar que el formato (estructura) de los archivos corresponda con su extensión.

Descripción

Un sistema que permite la subida o recepción de archivos, determina qué comportamiento debe tener dependiendo de la extensión del archivo, un atacante puede aprovechar una mala validación del sistema (cuando el sistema solo valida que el tipo de extensión sea válido más no que el formato del archivo corresponda al de la extensión presentada), de esta forma un atacante subiendo un archivo de extensión que corresponde a un contenido diferente, ejemplo un archivo .php.gif, puede ser procesado como gif en principio por el control de validación del contenido y luego ya al haber subido al sistema puede ser interpretado como php causando comportamientos no deseados.

Implementación

Tomar decisiones desde el lado del servidor, basado en el contenido del archivo y no solo en el nombre del archivo o su extensión.

Ataques

  1. Un usuario malicioso entrega un archivo a un sistema que no valida su contenido, de esta forma el sistema se ve comprometido por la ejecución de scripts o ejecutables maliciosos que pueden dar acceso no autorizado o extraer información confidencial del mismo.

Atributos

  • Capa: Capa de Aplicación.

  • Activo: Archivos.

  • Alcance: Integridad.

  • Fase: Operación.

  • Tipo de Control: Recomendación.


Estado de los servicios - Términos de Uso