How can I protect myself from a zip bomb?
我刚看过拉链炸弹,即包含大量高度可压缩数据(00000000000000000 ...)的zip文件。
打开时,它们会填满服务器的磁盘。
在解压缩之前,如何检测zip文件是拉链炸弹?
更新你能告诉我在Python或Java中是如何完成的?
在Python中试试这个:
1 2 3 4 | import zipfile z = zipfile.ZipFile('c:/a_zip_file') print 'total files size=', sum(e.file_size for e in z.infolist()) z.close() |
Zip是一种"有趣"的格式。一个强大的解决方案是将数据流出,并在您有足够的时间后停止。在Java中,使用
阅读维基百科上的描述 -
拒绝任何包含压缩文件的压缩文件。
    使用ZipFile.entries()检索文件列表,然后使用ZipEntry.getName()查找文件扩展名。
拒绝包含超过设定大小的文件的任何压缩文件,或者无法在启动时确定大小。
    迭代文件时,使用ZipEntry.getSize()来检索文件大小。
不允许上传过程写入足够的数据来填满磁盘,即解决问题,而不仅仅是问题的一个可能原因。
首先检查一个zip标题:)
如果您使用的ZIP解压缩程序可以提供原始和压缩大小的数据,则可以使用该数据。否则开始解压缩并监视输出大小 - 如果它增长太多则将其松散。
确保您没有使用系统驱动器进行临时存储。我不确定如果遇到它,病毒扫描仪是否会检查它。
您还可以查看zip文件中的信息并检索内容列表。如何执行此操作取决于用于提取文件的实用程序,因此您需要在此处提供更多信息