7

我有一个系统,用户可以上传任何东西——这些文件可供其他用户使用。

我需要列出不同行业的专业人员真正需要的文件类型列表,这些文件类型可以免受黑客/病毒等的侵害。

.doc .docx .gif .jpg .jpeg .mpg .mpeg .mp3 .odt .odp .ods .pdf .ppt .pptx .tif .tiff .txt .xls .xlsx .wav

您还知道哪些其他文件类型既有用又安全?

澄清

许多评论和回复都要求对“免受黑客攻击/病毒”有一个更清晰的定义——我提出这个问题的细节程度正是如此,因为我对文件类型及其风险的理解不如许多人那么复杂你这样做了,我想要关于 1) 任何可以让我的网站更安全的文件类型的指导,以及 2) 如果没有“安全”文件类型,那么关于如何使用允许灵活上传的系统前进的任何建议和文件共享。

如果确实可以将任何恶意文件打包为看似安全的文件,我该如何保护我的用户?

4

7 回答 7

3

如果您用来打开它的程序写得不好(或粗心或邪恶),则没有文件类型是安全的。

于 2011-05-10T18:05:23.737 回答
2

您不能假设具有给定扩展名的所有文件都不会受到“病毒”的侵害。

我可以轻松地将恶意可执行文件重命名为.doc并“破解”您的系统。

编辑:

没有(简单的?)方法来检查用户上传的文件是否是恶意的。

您创建的应用程序与其他任何文件共享网站(Rapidshare、Megaupload 等)没有什么不同。

没有什么可以阻止任何人将恶意文件上传到这些网站。

于 2011-05-10T17:57:29.803 回答
2

安全文件不存在。普通的文本文件安全吗?例如内容:

format c:

如果某个程序可以执行文件的内容......你明白了。

所以,这里不是安全文件——只有对 RUN 代码(程序)的限制。(我明白这个答案是否不喜欢。):)

于 2011-05-10T22:24:49.733 回答
1

对于“有用”,您需要询问您的客户。

为了安全起见,没有这样的事情,因为文件扩展名只是文件名的一部分,它给出了文件类型的建议。它不需要准确地表示类型,并且易于操作。

于 2011-05-10T18:11:36.167 回答
1

而不是基于文件类型进行保护。我会让第 3 方在上传时对每个文件进行病毒扫描。拒绝那些被确定为阳性的。

于 2011-05-10T19:41:29.897 回答
0

清单是无穷无尽的!快速搜索发现h​​ttp://fileext.com/alphalist.php?extstart=^ A

于 2011-05-10T17:59:27.860 回答
0

好吧,您可以包含所有数据文件并排除所有可执行文件/脚本文件。可执行文件扩展名列表如下:http: //pcsupport.about.com/od/tipstricks/a/execfileext.htm

您可能会寻找其他来源来提高覆盖率。

编辑:对于解决sequrity的问题的第二部分-最好在服务器上安装一堆反恶意软件来检查每个sumbission-它们是为这项专门任务设计的,请使用它们。无论如何,只要人们不寻找破解软件,就没有可执行文件是专业有用的。

于 2011-05-10T18:26:31.567 回答