این مطلب، دستورالعملهایی را برای نمایش ایمن نام فایلها به منظور جلوگیری از فریب کاربران در اجرای فایلهای مخرب ارائه میدهد. نام فایلها، مانند URLها، شامل اجزای قابل اعتماد (پسوند فایل) و غیرقابل اعتماد (نام پایه) هستند. حملات جعل هویت از این تمایز سوءاستفاده میکنند.
مشکل: تهدیدات جعل هویت
- انواع خطرناک ناشناخته: سیستمهای عامل ممکن است همهی انواع فایلهای خطرناک را تشخیص ندهند و کاربران را در صورت نصب کنترلکنندههای این نوع فایلها، آسیبپذیر بگذارند. مهاجمان میتوانند از این طریق، با پنهان کردن یک فایل خطرناک با یک پسوند به ظاهر ایمن، سوءاستفاده کنند.
- دور زدن اعلانهای امنیتی: حملات جعل هویت میتوانند اعلانهای امنیتی را بیاثر کنند. کاربران ممکن است بر اساس یک نام فایل گمراهکننده، روی "اجرای به هر حال" یا "باز کردن" کلیک کنند.
بردارهای حمله
مهاجمان میتوانند نام پایه فایل را برای پنهان کردن پسوند واقعی، دستکاری کنند:
- نام فایلهای بیش از حد طولانی: کوتاه کردن نام فایل، پسوند واقعی را پنهان میکند.
- فضای خالی جاسازی شده: پسوند را از ابتدا دور میکند و دیدن آن را آسان میکند.
- بازنویسی RTL یونیکد: جهت متن را برعکس میکند و پسوند را در وسط نام فایل قرار میدهد.
- نامهای پایه گمراهکننده: یک نام پایه ایمن به همراه یک پسوند مخرب میتواند کاربران را فریب دهد.
بهترین روشها برای نمایش ایمن نام فایل
- پسوند جداگانه: پسوند فایل را در یک خط یا فیلد جداگانه نمایش دهید.
- پنهان کردن نام پایه: نام پایه کنترل شده توسط مهاجم را به طور پیش فرض پنهان کنید.
- نمایش کامل: اطمینان حاصل کنید که نام فایلهای طولانی به طور کامل نمایش داده میشوند.
- حذف نام پایه: در صورت لزوم، نام پایه را حذف کنید و دید پسوند را حفظ کنید. از
rtl text-overflow: ellipsis در CSS برای این منظور استفاده کنید. - حذف ورودیهای نامعتبر: کاراکترهای بالقوه گمراهکننده (فضای خالی، بازنویسی RTL یونیکد و غیره) را حذف کنید.
- جلوگیری از تزریق: از آسیبپذیریهای تزریق HTML یا XSS در نمایش نام فایلها جلوگیری کنید.
- نمایش متمایز: اطمینان حاصل کنید که نمایش نام فایل از سایر عناصر UI متمایز است. از اشتباه گرفتن کلمات انتخاب شده توسط مهاجم به عنوان متن یا توصیه برنامه جلوگیری کنید.
مشاهده مطلب اصلی