Please enable JavaScript.
Coggle requires JavaScript to display documents.
Сервис обработки изображений - Coggle Diagram
Сервис обработки изображений
Меры защиты
На уровне сервиса
Снижение поверхности атаки
файл глобальной политики ImageMagick policy.xml (настройка допустимых расширений, параметров изображения)
Дополнительно
Проверка подписей файлов
Перед обработкой приведение картинки к определенному формату для скидывания метаданных
Преобразование имени изображения
Сравнение фактического размера файла с размером в мета данных
Проверка расширений файлов
Установка последней доступной версии библиотеки
Проверка входных данных
Validator
HTML/template
Авторизация?
Орг меры защиты на цепочку поставок
Проверять источник пакета перед установкой
Поддерживать частный репозиторий библиотек. Перед обновлением библиотек выполнить проверку
Анализ кода
Анализ кода средствами SAST
Тестирование сервиса средствами DAST
Общие меры
Организация логирования + привязка к SIEM
Выделить как отдельный микросервис (контейнер)
Выделить контейнер в отдельный сетевой сегмент (по аналогии с DMZ)
Меры защиты инфраструктуры
Безопасность контейнера
Запуск приложения в контейнере из-под user
Сканирование образа перед установкой
Настройка фильтрации при взаимодействии с другими сетями
Сканирование на отсутствие доступных из вне API
Веб-сервер
Установка последней доступной версии веб-сервера
Сокрытие информации о версии веб-сервера и используемого ПО
HTTPS
WAF
Вектора атак
Атаки на сервис (библиотека Imagick, среда разработки GO)
RCE (прецедент CVE-2016-3714 в пакете Imagick)
DOS (высокое разрешение файла, большой объем, некорректный формат и пр.)
XSS
dependency-confusion
Атаки на инфраструктуру
Атаки на прикладное ПО (веб-сервер)
Атаки на среду контейнеризации
Атаки на другие компоненты сервиса (не в зоне оценки)
CSRF
Авторизация
SQLi