#security #upload #malware
#Безопасность #загрузка #вредоносное ПО
Вопрос:
Мне нужно проверить, как мой веб-сайт будет работать с файлами изображений со встроенным вредоносным ПО. Я уже доволен проверкой типа файла с помощью проверки заголовка. Я хочу протестировать его с подлинными файлами изображений со встроенным вредоносным ПО.
Могу ли я получить jpg, который должен быть распознан как вредоносный, для проверки этого? Или сделать один сам?
Или, если есть лучший способ сделать это, как я могу убедиться, что все подключено и работает правильно?
Он будет развернут в Azure вместе с изображениями, сохраненными в хранилище больших двоичных объектов Azure. Я хочу использовать [новую] службу безопасности хранилища Azure для обнаружения вредоносных программ.
Комментарии:
1. Можете ли вы предоставить подробную информацию о решении, которое вы используете для обнаружения вредоносного ПО? Большинство поставщиков смогут предоставить тестовые файлы (т. Е. Файлы, Которые будут рассматриваться как вредоносные, но не содержат вредоносного содержимого), которые позволят вам это сделать.
2. @James Спасибо за информацию. Я планирую использовать Azure Defender для хранения. Он может генерировать предупреждение, когда вредоносное ПО загружается в хранилище больших двоичных объектов. Мне нужно настроить автоматический ответ на предупреждение, которое в таком случае немедленно удаляет большой двоичный объект. docs.microsoft.com/en-us/azure/security-center /…
3. Это, вероятно, будет сложной задачей (если только поставщик не захочет поделиться файлом изображения). Очевидный файл, который используется во многих тестированиях, — eciar ( en.wikipedia.org/wiki/EICAR_test_file ) Проблема здесь в том, что он, вероятно, не пройдет ваш тест на допустимость файла изображения.
4. @James Спасибо, на самом деле это именно то, что я искал. Если я не могу встроить его в файл изображения, я могу просто проверить его, отключив проверку изображения (пока не работает)
5. Спасибо за отзыв, я добавлю это в качестве ответа для всех, кто столкнется с этим вопросом
Ответ №1:
Обычно сложно использовать реальные вредоносные программы для тестирования. Вы должны быть в состоянии обрабатывать файл в вашей тестовой среде с осторожностью, чтобы не заразить ваши системы или не попасть в остальную часть вашей сети.
Для облегчения тестирования антивирусных решений поставщики предоставляют несколько тестовых файлов. Это безопасные файлы, которые обнаруживаются как вредоносные. Поэтому их безопасно использовать в вашей среде, но они послужат хорошим тестовым примером вашего решения.
Существует один стандартный файл (EICAR), который доступен для тестирования антивирусных решений. Как вы можете видеть из VirusTotal, почти каждый поставщик обнаружит этот файл как вредоносный. Многие из них идентифицируют его как тестовый файл.
В вашем конкретном случае использования здесь есть одна проблема: это не файл изображения. Однако, как вы упомянули в комментариях, я считаю, что отключение обнаружения изображений во время этого теста намного лучше, чем использование реального вредоносного ПО для тестирования.
Наконец, одно предостережение в отношении EICAR. Поскольку многие продукты обнаруживают это как вирус, вам нужно быть осторожным с антивирусным решением, запущенным в системах, в которых находится файл. Например, если ваша среда разработки содержит сканер при доступе, попытка запустить тест потенциально вызовет сканер при доступе.