>  기사  >  백엔드 개발  >  如何检测用户恶意上传的zip*,防止unzip引爆

如何检测用户恶意上传的zip*,防止unzip引爆

WBOY
WBOY원래의
2016-06-06 20:51:291575검색

在Hackernews上看到这篇关于zip炸弹的文章 http://news.ycombinator.com/item?id=4...
我就想,用户要是上传了zip到服务器上,服务器傻傻的进行了解压,那岂不是崩溃了

在用户上传了zip文件后,解压前应如何进行检测防止悲剧重演呢?
最好以python、php为示例了,我想web语言都应该有这种风险吧

回复内容:

在Hackernews上看到这篇关于zip炸弹的文章 http://news.ycombinator.com/item?id=4...
我就想,用户要是上传了zip到服务器上,服务器傻傻的进行了解压,那岂不是崩溃了

在用户上传了zip文件后,解压前应如何进行检测防止悲剧重演呢?
最好以python、php为示例了,我想web语言都应该有这种风险吧

WEB 服务器一般不会自动解压 zip 吧,而邮件服务器的病毒检查组件一般会自动解压缩各类压缩文件,比如 amavisd-new,这也正是那篇文章中的情况。

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.