解压zip文件可导致目录遍历漏洞修复

问题描述：

应用上架安全检测报错，应用程序内含解压模式不安全，可能导致Path Traversal

问题原因：

这里的恶意漏洞的问题就在于：因为ZipEntry在进行压缩文件的时候，名称没有做任何限制，而在Android系统中../这种特殊符号代表的是回到上层目录，又因为这个解压工作在本应用中，可以借助app的自生权限，把恶意文件名改成：../../../data/data/...即可在解压的时候把文件解压到了应用的沙盒中。

解决方法：

当App中使用zipInputStream类对zip压缩包进行解压操作时，在zipEntry.getName()获取文件名后，必须添加过滤代码对文件名中可能包含的“../”进行过滤判断，即：文件名称不能包含"../"这种特殊字符。

while(( zipEntry = zipInputStream.getNextEntry()) != null ){
    String entryName = zipEntry.getName();
    if(entryName.contains("../")){
        continue;
        // 或者
        // throw new Exception("发现不安全的zip文件解压路径！")
    }
    ...
}

getCanonicalPath()：此路径方法返回绝对唯一的标准规范路径名。此方法首先将此路径名转换为绝对形式，就像调用getAbsolutePath方法一样，然后以系统相关的方式将其映射到其唯一路径上。也就是说如果路径中包含“.”或“..”等当前路径及上层路径表示法，则会从路径名中删除“.”和“..”使用真实路径代替。

使用此方法对输入路径进行转换。

附路径检查方法：

下面的正则表达式可过滤../和其他字符

/**
	 * 路径遍历漏洞修复
	 * @param filepath 路径
	 * @return 安全路径
	 */
	public static String pathFilter(String filepath){
		Pattern filePattern = Pattern.compile("\\.{2}\\/|[\\s:?<>|]");//过滤../和其他字符
		return filepath == null ? null : filePattern.matcher(filepath).replaceAll("");
	}