ImageResizer и соображения безопасности

Question

Мы рассматриваем использование ImageResizer в нашем коммерческом приложении и имеем некоторые вопросы, связанные с безопасностью. Приложение позволит пользователям загружать изображения для последующего отображения на веб-страницах.

Мы хотим знать, как мы можем использовать ImageResizer для защиты от таких атак, как бомба сжатия, содержимое JAR, полезная нагрузка, exif-экспозиции и искаженные данные изображения.

Я думаю, что знаю, как их решать в целом, но я хотел бы знать, какие конкретные инструменты предлагает ImageResizer.

Answer 1

Большинство адаптеров данных ImageResizer предлагают настройку конфигурации «untrustedData = true».

Эта настройка, в свою очередь, устанавливает &process=always в запросе в течение ImageResizer.Configuration.Config.Current.Pipeline.PostRewrite.

Если вы хотите, вы можете установить его для всех запросов изображения. Имейте в виду, что это приведет к повторному кодированию запросов на исходные изображения с потенциальной потерей качества и/или увеличением размера.

Когда установлено process=always, все изображения перекодированы и лишены данных exif, чтобы предотвратить попадание потенциально вредоносных изображений в браузер. Это означает, что клиент получит ошибку 500 вместо искаженного изображения.

Как изображение интерпретируется, однако, так же важно. Если вы разрешаете загрузкам пользователей сохранять исходное имя файла или просто расширение (вместо того, чтобы выбирать из белого списка), вы открываете себя для простых векторов атак. Точно так же, если изображение установлено в браузере с помощью mime-типа javascript, клиент может интерпретировать его как javascript и получить XSS'd. Конвейер ImageResizer работает с белыми списками, чтобы это не происходило.

Кроме того, если вы намерены повторно кодировать все загрузки, это может быть проще сделать на этапе загрузки, а не при каждом запросе. Однако это зависит от безопасности вашего хранилища данных и быть уверенным, что никакие загрузки «как есть» не могут быть успешными.