关于java:我如何保护自己免受拉链炸弹袭击?

How can I protect myself from a zip bomb?

我刚看过拉链炸弹,即包含大量高度可压缩数据(00000000000000000 ...)的zip文件。

打开时,它们会填满服务器的磁盘。

在解压缩之前,如何检测zip文件是拉链炸弹?

更新你能告诉我在Python或Java中是如何完成的?


在Python中试试这个:

1
2
3
4
import zipfile
z = zipfile.ZipFile('c:/a_zip_file')
print 'total files size=', sum(e.file_size for e in z.infolist())
z.close()


Zip是一种"有趣"的格式。一个强大的解决方案是将数据流出,并在您有足够的时间后停止。在Java中,使用ZipInputStream而不是ZipFile。后者还要求您将数据存储在临时文件中,这也不是最好的想法。


阅读维基百科上的描述 -

拒绝任何包含压缩文件的压缩文件。
    使用ZipFile.entries()检索文件列表,然后使用ZipEntry.getName()查找文件扩展名。
拒绝包含超过设定大小的文件的任何压缩文件,或者无法在启动时确定大小。
    迭代文件时,使用ZipEntry.getSize()来检索文件大小。


不允许上传过程写入足够的数据来填满磁盘,即解决问题,而不仅仅是问题的一个可能原因。


首先检查一个zip标题:)


如果您使用的ZIP解压缩程序可以提供原始和压缩大小的数据,则可以使用该数据。否则开始解压缩并监视输出大小 - 如果它增长太多则将其松散。


确保您没有使用系统驱动器进行临时存储。我不确定如果遇到它,病毒扫描仪是否会检查它。

您还可以查看zip文件中的信息并检索内容列表。如何执行此操作取决于用于提取文件的实用程序,因此您需要在此处提供更多信息