1

ユーザーがドキュメント/ファイルをデータベースにアップロードするオプションがあるWebベースのアプリケーションがあります。ドキュメント/ファイルをアップロードする前に、http://virusscan.jotti.org/enなどのいくつかの Web サイトが提供する無料のオンライン ウイルス スキャンのためにファイルを送信し、それらからスキャン ステータスを取得します。応答ステータスが OK の場合のみ、データベースへのアップロードを許可する必要があります。

lindaocta.com/?cat=20 にある解決策も試しました。

ここでの私の質問は次のとおりです。

1)サーバーにドキュメントをダウンロードせずに、アプリケーションでドキュメント/ファイルを無料のオンライン ウィルス スキャナ Web サイトに直接送信するにはどうすればよいですか。

2) 最近の Web アプリケーションは AJAX を使用して開発されているため、ページ内の応答を徐々に更新できます。無料のオンライン ウイルス スキャナ Web サイトから返された応答を読み取ろうとすると、予期したものとは異なります。この種のシナリオを解決するにはどうすればよいですか?

テクノロジー OS: RedHat Linux ES5.0 Java 1.6 JSP サーブレット Tomcat v6.0.10

4

1 に答える 1

1

1) ウイルス スキャナの応答を検査する機会を得るには、少なくともサーバーを介して要求をプロキシする必要があります。クライアントが AV 会社に直接投稿した場合、AV サイトがある種のトークン ベースのサード パーティ検証システムを提供しない限り、サーブレットはループから切り離されます。無料AVサイトとは?

2) クライアント (ブラウザ) 側でセキュリティ ビジネス ロジックを処理しないでください。攻撃者は単に JavaScript を変更して、AV スキャナー サイトから肯定的な応答を偽造することができます。

安全ではない可能性のあるファイルをサーバーにダウンロードすることをなぜそれほど恐れているのでしょうか? 作成した特別な公開されていない閲覧可能ディレクトリ (他のプログラムが構成ファイルを探していない場所) にアップロードし、ウイルスをスキャンし、合格しない場合は削除します。実行しようとせず、設定ファイルやカーネル ファイルなどを上書きしていない場合は、おそらく十分に実行したことになります。

于 2009-09-30T14:34:49.387 に答える