كيفية اكتشاف ملف SVG ضار

عندما يتعلق الأمر بـ SVGs الضارة ، فهناك بعض الأشياء التي يمكنك البحث عنها لتحديد ما إذا كان الملف ضارًا. أولاً ، يجب عليك التحقق من حجم الملف. إذا كان الملف أكبر بكثير من SVGs الأخرى التي لديك ، فقد يكون ذلك علامة على أن الملف قد تم تعديله ليشمل تعليمات برمجية ضارة . شيء آخر يجب البحث عنه هو سلوك غير عادي أو غير متوقع عند فتح الملف. إذا تم فتح ملف SVG في محرر نصوص بدلاً من متصفح ، أو إذا كان يعرض أحرفًا أو رموزًا غريبة ، فمن المحتمل أن الملف مصاب ببرامج ضارة. أخيرًا ، يجب عليك فحص الملف باستخدام برنامج موثوق لمكافحة الفيروسات للتأكد. إذا تم وضع علامة على الملف على أنه ضار ، فمن المحتمل أنه يحتوي على تعليمات برمجية ضارة.

يمكن للفيروسات والبرامج الضارة إصابة أي نوع من الملفات تقريبًا بسبب التعليمات البرمجية الضارة. يمكن للفيروس أن يصيب وينتشر إلى ملفات أخرى عندما يقوم المستخدم بتحميل أو تسليم مصاب. SVG أو. ملف HTML. تقوم واجهات برمجة تطبيقات Filestack الخاصة بـ Filestack بتشفير الملفات تلقائيًا أثناء عمليات نقل البيانات وتخزينها ، مما يقلل من احتمالية سرقة البيانات. يتيح Filesstack للمستخدمين تحميل وتخزين مجموعة متنوعة من الملفات بشكل آمن من أجهزة سطح المكتب أو الأجهزة المحمولة الخاصة بهم. يمكن عزل البرامج الضارة حتى يمكن مراجعتها بواسطة Filestack Workflows أثناء اكتشاف الفيروسات.

سيؤدي الحفاظ على هذه الاحتياطات في مكانها إلى منع الملفات المصابة من الانتشار وسيحمي كلاً من التطبيق والمستخدم. الأمان هو أساس واجهة برمجة تطبيقات Filestack ويتم الحفاظ عليه في جميع أنحاء النظام الأساسي. يمكن استخدام سلاسل السياسة لتمكين المستخدمين من تعديل الملفات وإعدادات الحساب الموجودة أثناء تحميل الملفات الجديدة وتسليمها أيضًا. يجب أن تحتوي سلسلة السياسة على قيمة تنتهي صلاحيتها عند نقطة معينة ، ويجب أن تكون كل مكالمة وقيمة فريدة.

ملفات HTML التي تحتوي على كود JavaScript مضمنة هي أيضًا عرضة للهجوم. يمكن لملف SVG المصاب ، على سبيل المثال ، إعادة توجيه المستخدمين إلى موقع ويب ضار هو في الواقع موقع مارق. من الشائع أن تطلب هذه المواقع من المستخدمين تثبيت برامج تجسس مخفية في مكون إضافي للمتصفح أو ، في حالة الفيروسات ، برنامج للكشف عن الفيروسات.

هل يمكن أن تكون Svgs ضارة؟

نعم ، يمكن أن تكون صور SVG ضارة. باستخدام تعليمات برمجية ضارة داخل ملف SVG ، يمكن للمهاجم التحكم في نظام المستخدم. يمكن للمهاجم بعد ذلك استخدام عنصر التحكم هذا لتثبيت البرامج الضارة أو سرقة البيانات الحساسة أو تنفيذ إجراءات ضارة أخرى.

Scalable Vector Graphics هو اختصار لـ Scalable Vector Graphics. يوفر هذا التطبيق ، بالإضافة إلى XML ، طريقة لتحديد القيم. يتم تعريف الرسم المتجه على أنه سلسلة من الأوامر أو العبارات التي تنقل الأشكال والخطوط في مساحة ثنائية الأبعاد. عندما يحتاج مطور إلى صورة سريعة الاستجابة ولها عرض خاص بها ، يمكن استخدام صورة SVG . تم الإبلاغ عن أكثر من 8000 حالة من الثغرات الأمنية في ملفات SVG. تتمثل إحدى طرق منع الهجمات في تعقيم ملفات SVG من أي برنامج JavaScript. تتمثل الخطوة الأولى في تثبيت مكون إضافي لتعقيم كل SVG بعد تحميله على الموقع.

من المقبول تمامًا استخدام ملفات SVG على موقع الويب الخاص بك طالما أنك على دراية بمخاطر الأمان. تمثل البرامج النصية الضارة مخاطرة ، ولكن لا داعي للقلق بشأنها في ملفات SVG.

كيف يمكنني رؤية ملف Svg؟

هناك عدة طرق يمكنك من خلالها عرض ملف SVG. إحدى الطرق هي فتحه في محرر نصي وإلقاء نظرة على الكود. طريقة أخرى لفتحه في المتصفح. إذا كان الملف صالحًا ، يجب أن ترى الصورة معروضة في نافذة المتصفح. أخيرًا ، يمكنك استخدام أداة مثل Inkscape لفتح الملف وعرضه.

نظرًا لطبيعته القائمة على المتجهات ، يمكن أن يوفر ملف SVG عددًا كبيرًا من إمكانيات التصميم. هذا يعني أن تصميماتك ورسوماتك يمكن زيادتها أو تصغيرها دون فقدان جودتها. يمكنك أيضًا تعديل تصميماتك بسهولة عن طريق تحرير ملفات SVG في أي من برامج Adobe الشائعة.
من الضروري التفكير في استخدام ملفات SVG إذا كنت ترغب في إضافة بعض الإثارة إلى تصميمات الويب الخاصة بك. يعد استخدام هذه الأدوات أمرًا بسيطًا ومتعدد الاستخدامات ، مما يتيح لك إنشاء تصميمات مذهلة في أقل وقت ممكن.

متى يجب ألا تستخدم Svg؟

نظرًا لأنه يعتمد على تقنية المتجهات ، فإن تنسيق SVG غير مناسب للصور التي تحتوي على الكثير من التفاصيل الدقيقة والأنسجة. هذا النوع من الرسومات ، الذي يتميز بألوان وشكل أبسط ، هو الأنسب للشعارات والأيقونات والرسومات المسطحة الأخرى.

التنسيق الأكثر شيوعًا المستخدم لرسومات الويب هو Scalable Vector Graphics (SVG). عند تكبيرها أو تصغيرها في المستعرض ، لا تفقد الصور المتجهة الجودة لأنها صور متجهة وليست صورًا قياسية. قد تتطلب بعض تنسيقات الصور أصلًا أو بيانات إضافية لحل المشكلات المستندة إلى الدقة ، اعتمادًا على الجهاز. من حيث تنسيقات الملفات ، فإن معيار SVG هو W3C. يمكن أيضًا استخدام هذا النوع من لغات البرمجة جنبًا إلى جنب مع المعايير المفتوحة الأخرى مثل CSS و JavaScript و HTML. بالمقارنة مع التنسيقات الأخرى ، تكون الصور في SVG أصغر بكثير. يمكن أن يصل وزن ملفات رسومات PNG إلى 50 ضعفًا لملفات SVG. لا تتطلب صورًا من الخادم لأنها مصنوعة من XML و CSS. وهي مناسبة للاستخدام مع الرسومات ثنائية الأبعاد مثل الشعارات والأيقونات ، ولكنها غير مناسبة للاستخدام مع الصور التفصيلية. على الرغم من أنه مدعوم من قبل غالبية المتصفحات الحديثة ، إلا أنه قد لا يعمل مع الإصدارات القديمة من Internet Explorer.

يمكن أن يساعدك استخدام ملفات SVG في توفير مساحة على موقع الويب الخاص بك. بالإضافة إلى تصفح محتويات ملف SVG في أي متصفح (IE و Chrome و Opera و FireFox و Safari وما إلى ذلك) ، يمكنك أيضًا تنزيل الملف. قد ينمو حجم الملف بسرعة إذا كان الكائن يحتوي على عدد كبير من العناصر الصغيرة. من المستحيل أيضًا قراءة الرسومات نفسها لأن الكائن بأكمله هو المرئي فقط ؛ إذا كنت تستطيع قراءة أجزاء الرسم فقط ، فستواجه أيضًا حركة بطيئة. من ناحية أخرى ، سيسمح لك استخدام ملف SVG بإنشاء رسومات مخصصة قابلة للتطوير ويمكن استخدامها في أي متصفح. بعبارة أخرى ، إذا كنت بحاجة إلى إنشاء رسومات لموقع ويب ، فإن ملف sva يعد اختيارًا ممتازًا.

مخاطر استخدام Svg

من الخطر استخدام SVG لأنه يحتوي على Javascript. يجب تجريد ملفات SVG قبل تحميلها على موقع الويب. اعتبارًا من الآن ، لا أعرف أي مضيف صور يدعم SVGs ، ولا أعرف أيضًا أي موقع ويب يسمح بالصور التي ينشئها المستخدم. ثم هناك مشكلة كيف يمكن أن تكون صور SVG معقدة . على الرغم من بساطته ، إلا أنه تنسيق معقد للغاية وله العديد من المزايا. نتيجة لذلك ، كلما أمكن ، يجب عليك استخدام svega عند تطوير صفحات الويب. ومع ذلك ، فهي أداة قوية ، ويجب الانتباه إلى مخاطرها.

مثال Svg الخبيث

مثال على SVG الخبيث هو أحد الأمثلة المضمنة في JavaScript المستخدمة لتنفيذ تعليمات برمجية ضارة على كمبيوتر المستخدم. يمكن أن يحدث هذا عندما يفتح المستخدم ملف SVG في مستعرض أو عارض ليس لديه إجراءات أمان مناسبة في المكان.

المخاطر الأمنية لملفات Svg

حالة الاستخدام الأساسية لـ SVG هي في تصميم وتحريك صفحات الويب والتطبيقات ، ولكن يمكن استخدامها أيضًا في وسائط الطباعة.
لا تعد هجمات البرمجة النصية عبر المواقع (XSS) على SVG شائعة مثل تلك الموجودة على ملفات JPEG أو PNG ، والتي لا تتطلب طريقة مصادقة خاصة بالموقع.
يمكن أن تحدث ثغرات XSS عندما يقوم المستخدم بإدخال تعليمات برمجية ضارة في صفحة ويب ثم عرضها بمجرد تنفيذها.
نظرًا لأن ملفات SVG ليست تعليمات برمجية قابلة للتنفيذ ، فليس من الضروري أن تكون عرضة لـ XSS بنفس الطريقة التي تكون بها ملفات JPEG أو PNG.
نظرًا لأنك ستنشئ ملفاتك الخاصة وتستخدمها ، فلا داعي للقلق بشأن الأمان. يشكل تحميل الملفات من قبل مستخدمين غير موثوق بهم خطرًا مباشرًا على المستخدمين.

منع Svg Xss

هناك عدة طرق لمنع هجمات XSS عند استخدام ملفات SVG:
1. استخدم سياسة أمان المحتوى (CSP) التي تعطل استخدام JavaScript مضمن في ملفات SVG.
2. تحقق من صحة أي إدخال يوفره المستخدم وقم بتعقيمه قبل استخدامه لإنشاء ملف SVG.
3. قم بخدمة جميع ملفات SVG بنوع المحتوى "image / svg + xml" وتعطيل عرض ملفات SVG في المتصفحات التي لا تدعم هذا النوع من المحتوى.

يُعرف هذا الخطأ بشكل شائع باسم البرمجة النصية عبر المواقع (XSS) ، والتي تتضمن حقن شفرة جافا سكريبت في صفحات الويب. يمكن استخدام هذه الثغرة الأمنية لسرقة ملفات تعريف الارتباط من المستخدمين ، والتحايل على إجراءات التشغيل الموحدة عبر CORS ، وتنفيذ مجموعة واسعة من الأشياء الأخرى. كثيرًا ما يتم تجاهل استخدام ملفات SVG من قبل المستخدمين عند العثور على ثغرات XSS. سيتم تنفيذ الملفات بحمولة XSS إذا تم تحميلها في موقع ويب. كثيرًا ما يتجاوز المطورون والمهاجمون العلامة فيما يتعلق بهذا الأمر. يمكنك بسهولة اختبار هذه الثغرة الأمنية عن طريق تحميل ملف SVG كصورة لملفك الشخصي. عندما ترى الصورة ، ستلاحظ أن كل شيء يسير بسلاسة. بعد حفظ ملف XSS في ملف CSV ، يمكنك الآن حفظه.

يمكن استخدام ملفات Svg لإدخال تعليمات برمجية ضارة إلى صفحات الويب

يمكن استخدام كود JavaScript المضمن في ملف SVG لإدخال البرامج النصية في الصفحات أو تنفيذ أوامر عشوائية على كمبيوتر المستخدم. نظرًا لأنه يمكن تضمين ملفات SVG في أي مستند على صفحة ويب ، فعادة ما يستخدمها المهاجمون لإدخال تعليمات برمجية ضارة في الصفحات التي يزورها المستخدمون الساذجون.

ملفات Svg

ملف SVG هو ملف Scalable Vector Graphics. يتم إنشاء ملفات SVG باستخدام برنامج رسوم متجه ويمكن تحريرها باستخدام محرر نصوص. يعتمد تنسيق الملف على XML ويمكن أن يحتوي على رسوم متحركة وتفاعلية.

يمكن استيراد ملفات .VSCA إلى مجموعة متنوعة من تطبيقات التصميم الجرافيكي والنشر الشائعة مثل Microsoft Office لنظام Android. يمكنك تحرير صورة SVG باستخدام Office لنظام Android. لتحرير SVG ، انقر فوقه ، وسترى علامة التبويب "الرسومات" على الشريط. يمكن إضافة مجموعة من الأنماط المحددة مسبقًا إلى ملف SVG لتغيير مظهره بسرعة. تُستخدم دلالات لغة الترميز المستندة إلى XML لوصف الرسومات المتجهة ثنائية الأبعاد في الرسومات المتجهة القابلة للتحجيم (SVG). تستورد معظم تطبيقات التصميم الجرافيكي والنشر الشائعة ، مثل Microsoft Office لنظام Android ، ملفات SVG .