ファイルのアップロード機能を備えた、一般に公開されている Web フォームを用意しています。現在、ファイルは Web サーバーに保存されるか、電子メールの添付ファイルとして送信されます。サイズ、つまり 15MB とアップロードされるファイルの拡張子に制限があります。SMTP サーバーは同じ Web サーバー上にあります。誰でも悪意のあるファイルをアップロードでき、本番 Web サーバーに影響を与える可能性があるため、セキュリティに懸念があります。
このようなファイル アップロード コントロールを一般に公開することで、どのようなリスクがありますか? とにかく、悪意のあるファイルをアップロードすることで、誰かが Web サーバーで悪意のあるスクリプトを実行できるのでしょうか。
色々調べた結果、以下の点が分かりました
- 電子メールの添付ファイルとしてファイルを送信した場合、このファイルは一時的な ASP .Net フォルダーに一時的に保存され、電子メールが送信されると削除されます。
- ファイル システムに保存する前に、ファイルの名前を変更できます。
- ウェブサイトとは別の場所にファイルを保存できます
- ある種のリアルタイムのウイルスチェックを行うことができます。どうすればそれができるのかわかりません。コマンドラインのウイルススキャンについて読んでいました。しかし、それが本当に必要かどうかはわかりません。
ほんの数点ですが、ファイルアップロードの盲点があれば教えていただきたいです。