PHP ZipArchive 的潜在安全问题

Question

我想允许成员选择使用 zip 文件上传内容。上传后，我想使用 PHP 的 ZipArchive 类将 zip 文件内容解压缩到一个目录，然后将文件移动到我们的系统中。

但我担心潜在的安全风险，并且我在 php.net 上找不到任何文档。我想到的第一个（好吧，唯一的）风险是有人创建一个带有“../../etc/passwd”等相对路径的 zip 文件（如果他们假设我在 /tmp/somedir 中解压该文件）。

实际上，我很难在 zip 文件中创建相对路径，所以我无法测试这样的事情是否可行。我也找不到任何方法来使用 ZipArchive 提取 zip 文件的内容，并让它忽略目录（解压缩所有文件，但不要在 zip 中创建目录结构）。

谁能告诉我这种利用是否可能，和/或如何使用 ZipArchive 忽略 zip 文件中的目录结构？

Answer 1

我也有同样的担忧，并查看了 PHP 5.3 源代码，我发现了这一点：

/* Clean/normlize the path and then transform any path (absolute or relative)
         to a path relative to cwd (../../mydir/foo.txt > mydir/foo.txt)
 */
virtual_file_ex(&new_state, file, NULL, CWD_EXPAND TSRMLS_CC);
path_cleaned =  php_zip_make_relative_path(new_state.cwd, new_state.cwd_length);
if(!path_cleaned) {
    return 0;
}

对我来说看起来很好。查看 PHP 并查看 ./ext/zip/php_zip.c 了解详细信息。

Answer 2

您需要确保提取的内容不是由您的应用程序服务器直接提供。因此，如果某人的存档中有一个 php 文件，他无法通过您的网络服务器执行它。

另一件事是您应该确保内容安全，以免包含在用户生成的内容中。但在没有 zip 存档的情况下也应该考虑这一点。

Answer 3

最后，我将采用 Pekka 的解决方案，即使用命令行解压缩实用程序。它提供了忽略 zip 文件中的目录的开关。其他人指出的担忧在这里不是问题。文件解压缩后，我们将使用与常规上传相同的流程将它们添加到系统中，这意味着每个文件都会使用我们已有的安全措施进行仔细检查。

Answer 4

有趣的问题，但我敦促你以不同的方式解决这个问题。我强烈建议您在 chroot 监狱中以最低权限运行 Web 进程。假设您这样做，可能发生的最糟糕的事情是您的网站被破坏，然后您恢复备份并进行一些取证以堵塞该特定漏洞。
新的漏洞不断被发现，您将很难完全保护您的网站，遵循这些预感。最大限度地减少攻击者的沙箱确实有很大帮助。