கோப்பு பதிவேற்றி

ஏன் பைல்துகாட்டு பரிசோதனை போன்றவற்றுடன் தொடர்புடையது

பயனரிடமிருந்து பைல்களை பெற்று கொள்வது மிகவும் வசதியானது, ஆனால் முறையாக வடிவமைக்கப்படாவிட்டால், இது பெரும் மலிவுகளை ஏற்படுத்தும். பயங்கரவாதிகள், பதிவேற்றத்தை தவறாக பயன்படுத்தி, விருப்பகோட் செயல், சர்வர் அளவைக் குறைக்க, தவறான பைல்களை பிரசாரம் செய்வதற்காக முயற்சிக்கிறார்கள்.

விளக்கமாக உள்ள மின்விபத்திகள் கீழே உள்ளன:

  • வலைப்பக்கத்தின் கோப்புகளை பதிவேற்றம்/செயலி செய்வது — தீயெண்ணம் கொண்ட ஸ்கிரிப்ட்களை பதிவேற்றும், தொலைதூரமாகக் கட்டுப்படுத்தும்.
  • தீங்கு தரவுகளுடன் உள்ள பைல்கள் — பிற பயனர்களுக்கு தொற்றைப் பரவச் செய்வதில் இரண்டாவது பாதிப்பு.
  • பாதை வழிமுறைகள் — தவறான பாதை குறிப்பு மூலம் அடிப்படையில் இல்லாத இடத்தில் சேமிக்கப்படும்.
  • DoS (ZIP பறக்கும், பெரிய அளவிலான பைல்கள்) — சேமிப்பிடம் அல்லது செயல்முறை தடங்கலுக்கு.
  • மின் விரிவானது/MIME போலி — .jpg.php போன்ற இருமுறை விரிவானது அல்லது உள்ளமைப்பில் பாராட்டிய வபாஸ் மூலம் தடுப்பும்.
  • முன்கூட்டிய XSS — SVG/HTML முன்னோட்டத்தின் போது ஸ்கிரிப்டுகள் செயல்படுகிறது.

குறைவீட்டு அடிப்படை "பல்தரவு பாதுகாப்பு". ஒரே முறைக்கு சார்ந்துவராமல், பல பாதுகாப்பு அடியுகளை அடிக்கோட்டிற்குள் நடக்க வேண்டும் என்ற வடிவமைப்பு சால்லாகும்.

நடைமுறை: வடிவமைப்பு கட்டத்தில் கவனிக்க வேண்டிய கோட்பாடுகள்

விரிவான மற்றும் MIME வகையை உறுதி செய்யவும் (வெள்ளை பட்டியல் முறைகள்)

அனுமதிக்கப்படும் விரிவுகளை வரைவிலக்கட்டாய், அவற்றின் ஏற்றுமதி மற்றும் நண்பிய முறையை உருவாக்கவும். கோப்பின் சங்கிலி (மைஜிக் நம்பர்) சரிபார்த்துக் கொண்டு உள்ளடக்கம் சரிபார்க்கவும். உள்ளடக்கம்-வகை தலைப்பு (Content-Type header) மீது நம்பிக்கையில்லாமல், இருமுறை விரிவானது அல்லது NULL பைட் போன்ற திருப்புகளைக் கட்டுப்படுத்தவேண்டும்.

பயனரின் வழங்கப்பட்ட பைல் பெயரின் போதுகோள்கள்

பயனர் வழங்கிய பைல் பெயரை 그대로 சேமிக்கவும். UUID அல்லது ஹாஷ் + நேரச்சுட்டிகள் போன்றது பெயருக்குள் அவைகளைப் மாற்றுவது மென்மையானது. அசல் பைல் பெயரை மெட்டாபேட்டா உருப்படியாக வேறு சேமித்தல் இயக்கவும். விசேட புதுமை மற்றும் நீளக் கட்டுப்பாடுகளை கையாளவேண்டும்.

சேமிக்கும் இடம் மற்றும் உரிமைக்கட்டுப்பாடு

பதிவேற்றப்படும் பைல்கள் வலையமைப்பின் வேர்க்குழாய் வெளியே சேமிக்கப்பட வேண்டும் என்பதையும் மேற்கூறியவர்கள் நேரடி அனுபவம் நடந்துகொள்ளாமல் இருப்பது முக்கியமாகும். சில விளக்கம், தனிப்பட்ட பொருள் சேமிப்புடன் (எடுத்துக்காட்டு: S3) சேமிக்கவும், செயல்பாட்டு மூலம் பதிவிறக்க இணைப்புகள் வெளியிடவும். சேமிப்பு கோப்புறைக்கு அடிமையிழைகளை அனுமதிக்க முடியாது, படிப்பதற்கு/எழுதுவதற்கும் குறைந்த படிக்கப்படும் உள்ள உரிமைகள் முன்னிலை பெறுகின்றன.

அளவுக்கட்டுப்பாடு & ஒரே சமயத்தில் பதிவேற்ற கட்டுப்பாடு

பைல் அளவுக்கு மேலே உள்ள அடிப்படை மற்றும் ஒரே சமயங்களில் பதிவேற்ற எண்ணிக்கை மற்றும் சதவீதங்களை கொடுக்க வேண்டும். பcompressed பைல்கள் (ZIP போன்றவை) செல்வாக்கில் வருவது சிறிது பைல்களை பரிசோதனை செய்யவேண்டும்.

தீங்கு தரவுகளின் பார்வை & உள்ளடக்கம் சீரான (CDR)

பதிவேற்றத்திற்குப் பிறகு வைரஸ் கொள்குகளை (ஒரு நேரத்தில் பல இயக்கிகள் வாயிலாக) செயல்படுத்தவும், PDF/Office உள்ளிட்டவை CDR (உள்ளடக்கம் அகற்றுங்கள் மற்றும் மறுபடியும் உருவாக்குங்கள்) மூலம் சீரளிக்கவும். படம் மறுபடியும் உருவாக்கப்படும் (படிக்கவும்→புதிய பைல் உருவாக்கம்) மற்றும் ஒவ்வொரு முறையும் கட்டமைப்புள்ளதை நீக்கியால் மிகுந்த வழங்கும்.

HTTPS / தொடர்பு பாதுகாப்பு & CSRF பாதுகாப்பு

தொடர்புக்கு எப்போதும் TLS (HTTPS) மூலம் பாதுகாத்தல் தருவது, CSRF தட்டு போன்ற திட்டங்களை செயல்பட வேண்டும். பதிவிறக்கும் திருப்பங்களை Content-Disposition: attachment மற்றும் X-Content-Type-Options: nosniff ஆகியவற்றை கூடியே உள்ளடுத்து கொண்டு செயல்பாட்டை தவிர்க்கவேண்டும்.

Log ஆகவும் மதிப்பீடு செய்தல் & அலாரங்களை உள்ளப்படுத்தவும்

யார் எப்போது எந்த பைலுக்கு மேல் பணிசெய்துதருவார்கள் என்பதற்கான விவரங்களை பதிவு செய்து, சிக்கலான செயல்பாடுகளுக்கான (அதிகமான பதிவேற்றம் அல்லது அண்மையில் மறுத்து) எச்சரிக்கை அமைக்கவும். கோப்பின் தொலைத்தனைக்கான ஹாஷை காத்து வைத்திருப்பதும் முக்கியமாகும்.

வேறு விருப்ப சோதனை மற்றும் கண்டுபிடிப்பு சோதனை

வசதிகள் முடிவிற்கு பிறகு, தமிழ்ச்சி பைல்கள் பதிவேற்றத்திற்கு குறிப்பாகக் கொண்ட சோதனைக்கு (இணைப்புக்கல், விரிவுகள் விசாரணை, பாதை மீளாத முக நெறி உட்பட) செயற்கையாகச் செயற்படுத்தவும், மற்றும் வழிகாட்டியவற்றை மீண்டும் பார்க்கவும்.

UploadF கொண்டு எடுத்துக்காட்டி விவாதம்

இங்கே நாங்கள் பரிசீலிக்க நினைத்த UploadF (uploadf.com) என்பது, PC/மொபைல் தாற்காலிகம், இழுக்கவும் மற்றும் விட்டுவிடவும், 100 பைல்களை ஒரே சமயத்தில் பதிவேற்றமும் அடிப்படையில் சுலபமானது, ஆனால் சேவை வடிவமைப்பில் கீழ்க்காணும் கவனிக்கப்பட்ட நிலைமைகளோடு அமையும்.

செயலாக்க சரிபார்ப்பு (பாதுகாப்பு வடிவமைப்புக்கான பார்வை)

சரிபார்ப்பு உருப்படிகள் செயல்படுத்துதல்/தொடங்குதல் விதிகள்
விரிவுகள் வெள்ளைப்பட்டியினால் கட்டுப்பாடு தேவையான உருவங்களில் மட்டுமே அனுமதிக்கின்றன. முள்ளதிகட்டுகளுக்கு துணைத்தீர்மானம்.
MIME / சங்கிலி சரிபார்ப்பு விரிவுகள் மற்றும் உள்ளடக்கம் ஒத்துள்ளதா என்பதை உறுதி செய்யவும் (மைஜிக் நம்பர் சரிபார்ப்பு).
பைல் பெயர் மாற்றம் UUID அல்லது ஹாஷ் பெயரை மாற்றி அசல் பெயரை மெட்டாபேட்டா மூலம் கையாளவும்.
விசேட எழுத்துக்களை நீக்கு `/`, `\`, `..`, NULL போன்றவற்றைப் நீக்க அல்லது மறுத்து.
சேமிக்கும் இடத்தடி நடுத்துறையின் உட்புறத்தில் அல்லது பொருள் சேமிப்புகளில் சேமிக்கவும்.
கோப்புறையின் உரிமைகள் நாடனை அடுத்த பண்டங்கள், குறைந்த படிக்கப் அல்லது எழுதவதற்கு என்ன பணி இல்லை (principle of least privilege).
அதிக/குறைந்த அளவைக் கோப்புகள் மேலே உள்ள வரையறைகள் மற்றும் பாரக்கூள் மூலம் நடத்துக.
ஒரே நேரத்தில் பதிவேற்ற கட்டுப்பாடு சொந்த எண்கள் வெளியீடு, அளவுகோள்கள், நேரத்தை அமைக்க.
வைத்துச் சேமிப்பு / CDR பதிவேற்றத்தின் உடனே சோதனை மற்றும் தேவைப்பட்டால் திறம்பட சீராகத் செய்வதை நோக்குங்கள்.
தொடர்பு குறியீட்டு (HTTPS) TLS நடிப்பு அடிப்படையாகவும் (தருகையில் செயல்ப்பாட்டு தாவல்)
CSRF பாதுகாப்பு குறியீட்டுக்கேள்வி உள்வாங்கவும்.
பதிவிறக்கும் தலைப்புகள் Content-Disposition: attachment,X-Content-Type-Options: nosniff சிறந்த உள்ளவையாகவும்.
Log பதிவு மற்றும் ஆபத்து பதிவேற்ற செயல்களை மதிப்பீட்டு செய்களுக்கு பட்டியுங்கள், சிக்கலான நேரத்தில் தகவல்களை வழங்குங்கள்.
இடையிலான வெப்பம் சட்டரீதியாக காத்திருப்பிறைக்கு மேல் உரிமைகளை ஒழிக.
அணுகல் கட்டுப்பாடு/அங்கீகாரம் பயனர் அடிப்படையில்/குழுத்தன்மையன் வரையறைகளே கட்டுப்பாட்டின் கட்டுப்பாடுகளை முழுமையாகக் கையாளுங்கள்.

கண்ணோட்டம் மற்றும் பயனர் பார்வை

பைல்துகாட்டு செயல்முறை மேலதிக வசதிகள் மற்றும் மின்னுவலியின் இரு வேறுகளையும் கொண்டு வருகிறது. இது மூலமாக தான் உள்ள கருத்துகளை எடுப்பதற்கான பன்னிரு சாரவை எடுக்க வேண்டும்.

பயனர்களுக்கு "வளைவு மற்றும் பாதுகாப்பானது" என தெரிவித்தல் முக்கியமாகும். எடுத்துக்காட்டுக்கு, UploadF (uploadf.com) போன்ற فردோசியும் நீக்கலும், ஒரே பரந்த பகுதியுடனும் சேர்கின்ற சேவைகள் நம்பகத்தன்மையை வழங்க அமைப்பைச் செய்யலாம்.

பின்னர் மற்றும் குறிப்பு மீது

  1. OWASP — பைல் தூக்கிப் பாட வகை குறிப்பு
  2. OPSWAT — பைல் தகர்ப்பு பாதுகாப்பு / சிறந்த நடைமுறைகள்
  3. PortSwigger — பைல் தகர்ப்புக் குறைபாடுகள்
  4. SANS Institute — பாதுகாப்பு கொண்ட பைல் தாமதுதல் வழிகாட்டுகள்
  5. UploadF (uploadf.com) — பைல்துகட்டுபவர் (விளக்கத்தளம்)

※ மேலே உள்ள விவரங்கள் கட்டுரை உருவாக்க வந்த முன்புள்ள முக்கிய எடுத்துக்காட்டு. மேலும் வேலை விழிக்கைகளை பின்பற்றவும், இதற்கெதிராக தகவல்களுக்கென அதிகபட்சமாக அதிகாரபூர்வமான ஆவணங்களை சரித்திரச் செய்க.


முதன்மை   உதவி   தொடர்பு   🌐Language  
🌐Language
பயன்பாட்டு விதிமுறைகள்   தனியுரிமை கொள்கை   தொழில்நுட்ப உதவி  
©கோப்பு பதிவேற்றி