一个拟议的网站将允许人们注册工作并在注册时上传他们的简历。 CV 然后由第三方使用自动 ftp 传输从服务器上获取并存储在他们的服务器上。最终用户然后下载所述文件以在他们的 PC 上打开。
第三方表示他们不检查文件中的病毒,他们认为这是文件传输双方的人的责任。
如果我采用相同的方法,并说由最终用户在上传/下载文件时扫描文件,托管网站的服务器是否存在感染风险?
文件扩展名可能仅限于 .pdf、.txt .doc 等。
如果可能的话,我想避免寻找可以编写脚本来实时扫描文件的反病毒产品的麻烦。
最佳答案
警告最终用户
您无法确保下载这些文件的人是安全的,即使使用某些 AV 扫描所有这些文件也是如此。
如果您可以向该服务器添加一个 AV(WinServer2012 不是带有集成的 Windows Defender 吗?)那显然会更好。
然而,虽然这可能很好并且给用户一种专业的感觉并增加了安全的错觉,但最终用户有责任确保他受到保护。即使是最受信任的网站也可能包含一些被劫持的添加,从而感染其访问者。
在用户开始任何下载之前,非常清楚这些文件是由不受您控制的第三方提供的。
我会说这就足够了。
其他步骤
您可以将文件类型限制为 PDF,TXT 文件不是很专业,并且所有主要的 Office 应用程序(免费提供)都具有导出为 PDF 的方法(因此不需要 DOC 文件)。这减少了攻击面,您甚至可以设法实现自己的扫描这些 PDF 文件的方式。应该有能够读取这些 PDF 文件并提取任何可疑内容以进行验证的 C# 库,this是一个很好的例子。
关于c# - 文件上传到服务器。我需要检查病毒吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43256156/