عنوان:

‫دستورالعمل‌های نمایش امن نام فایل‌ها


نویسنده: وحید نصیری
تاریخ: ۱۴۰۳/۱۲/۰۵ ۰۸:۰۷
آدرس: www.dntips.ir
این مطلب، دستورالعمل‌هایی را برای نمایش ایمن نام فایل‌ها به منظور جلوگیری از فریب کاربران در اجرای فایل‌های مخرب ارائه می‌دهد. نام فایل‌ها، مانند URLها، شامل اجزای قابل اعتماد (پسوند فایل) و غیرقابل اعتماد (نام پایه) هستند. حملات جعل هویت از این تمایز سوءاستفاده می‌کنند.

مشکل: تهدیدات جعل هویت

  • انواع خطرناک ناشناخته: سیستم‌های عامل ممکن است همه‌ی انواع فایل‌های خطرناک را تشخیص ندهند و کاربران را در صورت نصب کنترل‌کننده‌های این نوع فایل‌ها، آسیب‌پذیر بگذارند. مهاجمان می‌توانند از این طریق، با پنهان کردن یک فایل خطرناک با یک پسوند به ظاهر ایمن، سوءاستفاده کنند.
  • دور زدن اعلان‌های امنیتی: حملات جعل هویت می‌توانند اعلان‌های امنیتی را بی‌اثر کنند. کاربران ممکن است بر اساس یک نام فایل گمراه‌کننده، روی "اجرای به هر حال" یا "باز کردن" کلیک کنند.

بردارهای حمله

مهاجمان می‌توانند نام پایه فایل را برای پنهان کردن پسوند واقعی، دستکاری کنند:
  • نام فایل‌های بیش از حد طولانی: کوتاه کردن نام فایل، پسوند واقعی را پنهان می‌کند.
  • فضای خالی جاسازی شده: پسوند را از ابتدا دور می‌کند و دیدن آن را آسان می‌کند.
  • بازنویسی RTL یونیکد: جهت متن را برعکس می‌کند و پسوند را در وسط نام فایل قرار می‌دهد.
  • نام‌های پایه گمراه‌کننده: یک نام پایه ایمن به همراه یک پسوند مخرب می‌تواند کاربران را فریب دهد.

بهترین روش‌ها برای نمایش ایمن نام فایل

  • پسوند جداگانه: پسوند فایل را در یک خط یا فیلد جداگانه نمایش دهید.
  • پنهان کردن نام پایه: نام پایه کنترل شده توسط مهاجم را به طور پیش فرض پنهان کنید.
  • نمایش کامل: اطمینان حاصل کنید که نام فایل‌های طولانی به طور کامل نمایش داده می‌شوند.
  • حذف نام پایه: در صورت لزوم، نام پایه را حذف کنید و دید پسوند را حفظ کنید. از rtl text-overflow: ellipsis در CSS برای این منظور استفاده کنید.
  • حذف ورودی‌های نامعتبر: کاراکترهای بالقوه گمراه‌کننده (فضای خالی، بازنویسی RTL یونیکد و غیره) را حذف کنید.
  • جلوگیری از تزریق: از آسیب‌پذیری‌های تزریق HTML یا XSS در نمایش نام فایل‌ها جلوگیری کنید.
  • نمایش متمایز: اطمینان حاصل کنید که نمایش نام فایل از سایر عناصر UI متمایز است. از اشتباه گرفتن کلمات انتخاب شده توسط مهاجم به عنوان متن یا توصیه برنامه جلوگیری کنید.


مشاهده مطلب اصلی