Security Requirement OWASP

Detail:

12.1.1 Verify that the application will not accept large files that could fill up storage or cause a denial of service.

ChatGPT:

12.1.1 ตรวจสอบให้แน่ใจว่าแอปพลิเคชันจะไม่ยอมรับไฟล์ขนาดใหญ่ที่อาจทำให้พื้นที่จัดเก็บเต็มหรือก่อให้เกิดการปฏิเสธการให้บริการ (Denial of Service - DoS)

Gemini:

การตรวจสอบว่าแอปพลิเคชันจะไม่รับไฟล์ขนาดใหญ่นั้นมีความสำคัญอย่างยิ่งต่อการป้องกันปัญหาต่าง ๆ เช่น พื้นที่เก็บข้อมูลเต็มหรือการถูกโจมตีแบบ Denial-of-Service (DoS) ซึ่งอาจทำให้แอปพลิเคชันไม่สามารถใช้งานได้

นี่คือแนวทางในการตรวจสอบและป้องกันปัญหาดังกล่าว:

• กำหนดขนาดไฟล์สูงสุด: กำหนดขนาดไฟล์สูงสุดที่อนุญาตให้อัปโหลดได้ โดยคำนึงถึงความเหมาะสมต่อการใช้งานและทรัพยากรที่มีอยู่ ควรพิจารณาประเภทของไฟล์ด้วย เช่น รูปภาพ วิดีโอ หรือไฟล์ประเภทอื่น ๆ ที่อาจมีขนาดใหญ่
• ตรวจสอบขนาดไฟล์ก่อนอัปโหลด (Client-side validation): ก่อนที่ผู้ใช้จะอัปโหลดไฟล์ ควรตรวจสอบขนาดไฟล์เบื้องต้นด้วย JavaScript หรือภาษาฝั่งไคลเอ็นต์อื่น ๆ เพื่อแจ้งให้ผู้ใช้ทราบทันทีหากไฟล์มีขนาดใหญ่เกินไป วิธีนี้ช่วยประหยัดแบนด์วิดท์และป้องกันการส่งไฟล์ขนาดใหญ่ที่ไม่จำเป็นไปยังเซิร์ฟเวอร์
• ตรวจสอบขนาดไฟล์ฝั่งเซิร์ฟเวอร์ (Server-side validation): หลังจากที่ผู้ใช้อัปโหลดไฟล์แล้ว จะต้องตรวจสอบขนาดไฟล์อีกครั้งบนเซิร์ฟเวอร์ เนื่องจากการตรวจสอบฝั่งไคลเอ็นต์อาจถูกหลีกเลี่ยงได้ หากขนาดไฟล์เกินขีดจำกัดที่กำหนด ควรปฏิเสธการอัปโหลดและแสดงข้อความแสดงข้อผิดพลาดที่ชัดเจน
• จำกัดจำนวนไฟล์ที่อัปโหลด: กำหนดจำนวนไฟล์สูงสุดที่ผู้ใช้สามารถอัปโหลดได้พร้อมกัน เพื่อป้องกันการอัปโหลดไฟล์จำนวนมากเกินไป ซึ่งอาจทำให้เซิร์ฟเวอร์ทำงานหนักเกินไป
• ตรวจสอบพื้นที่เก็บข้อมูล: ตรวจสอบปริมาณพื้นที่เก็บข้อมูลที่ใช้ไปอย่างสม่ำเสมอ หากพื้นที่เหลือน้อย ควรแจ้งเตือนผู้ดูแลระบบหรือผู้ใช้
• ใช้ระบบไฟล์แบบกระจาย (สำหรับแอปพลิเคชันขนาดใหญ่): หากแอปพลิเคชันของคุณจัดการกับไฟล์จำนวนมาก ควรพิจารณาใช้ระบบไฟล์แบบกระจาย เช่น Hadoop Distributed File System (HDFS) เพื่อเพิ่มประสิทธิภาพในการจัดเก็บและประมวลผลไฟล์
• ทดสอบแอปพลิเคชัน: ทดสอบแอปพลิเคชันด้วยไฟล์ขนาดต่าง ๆ กัน เพื่อให้แน่ใจว่าแอปพลิเคชันสามารถจัดการกับไฟล์ขนาดใหญ่ได้อย่างถูกต้อง ลองอัปโหลดไฟล์ขนาดใหญ่จำนวนมากพร้อมกันเพื่อประเมินประสิทธิภาพการทำงานของแอปพลิเคชันภายใต้สภาวะโหลดสูง
• มาตรการรักษาความปลอดภัยเพิ่มเติม: ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม เช่น การตรวจสอบประเภทไฟล์ การสแกนไวรัส และการป้องกันการโจมตีแบบ Denial-of-Service (DoS) เพื่อป้องกันการอัปโหลดไฟล์ที่เป็นอันตราย

Myself:

การจำกัดขนาดไฟล์อัปโหลดไม่ใช่แค่เรื่องความปลอดภัย แต่ยังมีผลกับการใช้งานของผู้ใช้และการทำงานของระบบด้วย ถ้ากำหนดเงื่อนไขเข้มเกินไป คนก็อาจหาวิธีเลี่ยง เช่น แบ่งไฟล์หรือบีบอัดจนไฟล์เสีย ระบบควรช่วยแก้ปัญหาให้ผู้ใช้แทนที่จะบังคับ เช่น มีตัวเลือกบีบอัดไฟล์ให้ หรือให้ใช้ Cloud Storage ถ้าจำเป็น ควรเช็คขนาดไฟล์ตั้งแต่ฝั่งผู้ใช้เลย ไม่ใช่ให้โหลดไปครึ่งทางแล้วค่อยบอกว่าใหญ่เกินไป การจัดการดี ๆ จะช่วยให้ระบบลื่นไหล ไม่เปลืองทรัพยากร และลดต้นทุนไปด้วย

ตัวอย่างในชีวิตประจำวัน:

• ระบบอัปโหลดเอกสารในแอปสมัครงาน

  • ผู้สมัครงานต้องอัปโหลดไฟล์เรซูเม่ (PDF) แต่ระบบกำหนดขนาดสูงสุดที่ 5 MB

  • ถ้าผู้ใช้พยายามอัปโหลดไฟล์ขนาด 500 MB ระบบต้องปฏิเสธทันที เพื่อป้องกันไม่ให้เซิร์ฟเวอร์โหลดหนักเกินไป

• ระบบอัปโหลดไฟล์ในแอปอีเมล (เช่น Gmail, Outlook)

  • อีเมลแต่ละฉบับมีข้อจำกัดการแนบไฟล์ เช่น Gmail กำหนดขนาดไฟล์แนบสูงสุดที่ 25 MB

  • หากไม่มีข้อจำกัดนี้ ผู้ใช้บางคนอาจแนบไฟล์ขนาด 10 GB ทำให้ระบบส่งอีเมลช้าและสร้างภาระให้เซิร์ฟเวอร์

📌 อ้างอิง: OWASP Application Security Verification Standard 4.0.3 (Link)

✨🐱💻🎯🔒