S'assurer d'avoir mis en place les contrôles de validation lors d'un upload de fichier avant d'accepter les fichiers des utilisateurs est important. Comme vous avez pu le lire sur différents billets que j'ai publié récemment, ce mécanisme est le premier vecteur d'attaque d'une plateforme.

Ainsi dès que l'on vous demande de créer un tel mécanisme pour une application voici une liste d'étapes à faire pour minimiser les risques sur votre SI:

• Vérifier les extensions de fichier (surtout pour éviter d'accepter des fichiers potentiellement dangereux)
• Définir une taille limite lors de l'upload (évite de surcharger la bande passante, et l'espace disque du serveur)
• S'assurer de l'endroit ou son déposer les fichiers. Dans l'idéal en dehors de l'arborescence de l'application, mais aussi sur un lecteur qui n'est pas celui ou se trouve le système d'exploitation.
• Une convention de nommage devrait-être suivi ce qui permet d'éviter de récupérer des noms issus de l'utilisateur ou métadonnées du fichier qui peuvent-être piégées.
• Les fichiers doivent-être analysés ainsi que les métadata pèar un antivirus pour s'assurer de ne pas se retrouver avec un fichier ou données compromises.
• La signature du fichier doit-être vérifier, pour éviter de se retrouver avec un exe malgé le fait que l'extension finale soit un .txt