我怎样才能保护自己免受拉链炸弹的袭击？

Question

我刚刚读到zip炸弹，即包含大量高度可压缩数据的zip文件（00000000000000000 ...）。

打开后它们会填满服务器的磁盘。

如何在解压缩 zip 文件之前检测它是否为 zip 炸弹？

更新你能告诉我这是如何在Python或Java中完成的吗？

Answer 1

在 Python 中试试这个：

import zipfile

with zipfile.ZipFile('a_file.zip') as z
    print(f'total files size={sum(e.file_size for e in z.infolist())}')

Answer 2

嗯，Zip 是一种“有趣”的格式。一个强大的解决方案是将数据流式传输出去，并在数据足够时停止。在 Java 中，使用 ZipInputStream 而不是 ZipFile。后者还要求您将数据存储在临时文件中，这也不是最好的想法。

Answer 3

阅读维基百科上的描述 -

拒绝任何包含压缩文件的压缩文件。
    使用 ZipFile.entries()< /a> 检索文件列表，然后 ZipEntry.getName() 查找文件扩展名。
拒绝任何包含超过设定大小的文件的压缩文件，或者启动时无法确定大小。
    迭代文件时使用 ZipEntry .getSize() 检索文件大小。

Answer 4

不要让上传过程写入足够的数据来填满磁盘，即解决问题，而不仅仅是问题的可能原因之一。

Answer 5

如果您使用的 ZIP 解压缩器可以提供有关原始大小和压缩大小的数据，您就可以使用该数据。否则，开始解压缩并监视输出大小 - 如果它增长太多，请将其松开。

Answer 6

首先检查 zip 标头:)

Answer 7

确保您没有使用系统驱动器进行临时存储。我不确定病毒扫描程序是否会检查它是否遇到它。

您还可以查看 zip 文件内的信息并检索内容列表。如何执行此操作取决于用于提取文件的实用程序，因此您需要在此处提供更多信息