我想为我的基于 Web 的应用程序创建以下功能:
- 用户上传存档文件(zip/rar/tar.gz/tar.bz 等)(内容 - 多个图像文件)
- 上传后自动提取存档
- 图像显示在 HTML 列表中(无论如何)
提取过程是否存在任何安全问题?例如。上传的文件(或精心准备的存档文件)中包含恶意代码执行的可能性,否则?
最佳答案
除了如果执行不仔细的话,系统可能会出现缓冲区溢出等问题,如果您盲目地提取一个精心制作的压缩文件,其中包含一个内部有冗余模式的大文件(zip 炸弹),则可能会出现问题。压缩版本非常小,但是当您解压时,它将占用整个磁盘,导致拒绝服务并可能导致系统崩溃。
此外,如果您不够小心,客户端可能会提供包含服务器端可执行内容的 zip 文件(.php、.asp、. aspx, ...) 并通过 HTTP 请求文件,如果配置不正确,可能会导致在服务器上执行任意代码。
关于security - 自动上传和解压存档(zip、rar、targz、tarbz) - 安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1903623/