首页 >后端开发 >Golang >如何在 Go 中实现稳健且安全的 zip 文件提取,解决文件描述符泄漏和 ZipSlip 漏洞等潜在问题?

如何在 Go 中实现稳健且安全的 zip 文件提取,解决文件描述符泄漏和 ZipSlip 漏洞等潜在问题?

Patricia Arquette
Patricia Arquette原创
2024-11-13 06:46:02525浏览

How can I implement robust and secure zip file extraction in Go, addressing potential issues like file descriptor leaks and ZipSlip vulnerabilities?

使用 Go 轻松提取 Zip 文件

借助 zip 包,在 Go 中解压缩文件可以变得轻而易举。利用其功能,您可以轻松提取压缩档案的内容。

原始代码:

func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer r.Close()

    for _, f := range r.File {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer rc.Close()

        path := filepath.Join(dest, f.Name)
        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            f, err := os.OpenFile(
                path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer f.Close()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
    }

    return nil
}

增强代码:

为了进一步改进代码并避免文件描述符问题,请考虑以下内容增强功能:

  1. 如果目标目录(dest)不存在(os.MkdirAll),则创建它。
  2. 将文件提取和写入封装在闭包中,以消除 defer 的堆叠。 Close() 调用。
  3. 向 Close() 操作添加错误处理。
  4. 实现检查 ZipSlip(目录遍历)漏洞。
func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer func() {
        if err := r.Close(); err != nil {
            panic(err)
        }
    }()

    os.MkdirAll(dest, 0755)

    extractAndWriteFile := func(f *zip.File) error {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer func() {
            if err := rc.Close(); err != nil {
                panic(err)
            }
        }()

        path := filepath.Join(dest, f.Name)

        if !strings.HasPrefix(path, filepath.Clean(dest) + string(os.PathSeparator)) {
            return fmt.Errorf("illegal file path: %s", path)
        }

        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            os.MkdirAll(filepath.Dir(path), f.Mode())
            f, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer func() {
                if err := f.Close(); err != nil {
                    panic(err)
                }
            }()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
        return nil
    }

    for _, f := range r.File {
        err := extractAndWriteFile(f)
        if err != nil {
            return err
        }
    }

    return nil
}

通过这些增强功能,您现在可以在 Go 中高效、安全地解压缩文件。

以上是如何在 Go 中实现稳健且安全的 zip 文件提取,解决文件描述符泄漏和 ZipSlip 漏洞等潜在问题?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn