惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!

最新推荐文章于 2024-05-13 10:45:53 发布
最新推荐文章于 2024-05-13 10:45:53 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 数据分析 Python学习资料 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ajian6/article/details/108548906
版权

zip解压炸弹

在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪!

解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息

如何制作解压炸弹

 42.zip 是很有名的zip炸弹。一个42KB的文件,解压完其实是个4.5PB的“炸弹”。zip炸弹文件中有大量刻意重复的数据,这种重复数据在压缩的时候是可以被丢弃的,这也就是压缩后的文件其实并不大的原因。这一百多万个最终文件,每个大小为 4.3 GB 。因此整个解压过程结束以后,会得到 1048576 * 4.6 GB = 4508876.8 GB 也就是 4508876.8 ÷ 1024 ÷ 1024 = 4.5 PB 这需要特殊的压缩算法和工具,但我们可以通过Python做一个简单的zip解压炸弹:

# -*- coding: utf-8 -*-
import os

def make_boom(file_path, file_num, string_len):
    if not os.pat
最低0.47元/天 解锁文章
大咖爱爬虫
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记. ZIP炸弹防御问题
持之
06-22 7666
背景: 测试组搞了个“ZIP炸弹”传给后台,发现后台并没有识别,一度怀疑后台是不是偷懒了根没有安全校验。 于是,激动万分地给我提了个单。 排查: 阅读同事的代码,发现有校验,步骤如下: 第一步,校验ZIP缩包大小。 第二步,校验ZIP缩包后的大小。 于是随便拿了个ZIP包本地验了一把,明明算得很准啊,一个字节都不差,是不是测试搞错了?! 再去测试组要了他们搞出来的变态Z...
zip和gcc 错误,以及python的卸载,各种代码
01-07
安装 python和node 都是需要c++的编译器的 所以就会出错,pip3.8无法装上的原因 zipimport.ZipImportError: can’t decompress data; zlib not available make: *** [install] Error 1 这时候 yum install zlib* -y...
Python炸弹
2301_79461526的博客
11-08 203
如果不存在,它将创建一个新的文件,并将用户提供的文本写入文件100万次(通过f.write(f"{speak}\n"*10000000)实现)。还有一个参数a,它应该是一个整数,代表要创建的文件数量。这段代码是一个Python脚本,它的功能是创建一个特定名称的文件夹,并在其中创建多个以特定前缀命名的文本文件,并在这些文件中写入一段特定的文本。总的来说,这段代码的主要功能是创建一系列新的文本文件,并将一段特定的文本写入这些文件中,如果文件已经存在,代码将跳过创建新文件,并打印出一条消息,指出该文件已经存在。
java学习之zip炸弹攻击
最新发布
dayouzi的博客
05-13 1158
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试缩这个Zip文件时,它需要缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
ZIP BOMB
冷风
11-04 3352
1.OPEN GOOGLE ENGLISH SEARCH ZIP BOMB2.http://en.wikipedia.org/wiki/Zip_bomb3.http://www.unforgettable.dk/Password: 42
炸弹(zipbomb)制作(附演示)
热门推荐
fenwangduanyan的博客
01-21 2万+
最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有动作的地方,如果校验不严,可能导致炸弹,导致消耗CPU导致宕机 1、生成ZIP炸弹: https://github.com/CreeperKong/zipbomb-generator python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip –num-files :缩包包含的文件数量 –compresse
【源代码】深度学习入门:基于Python的理论与实现.zip
02-26
通过"【源代码】深度学习入门:基于Python的理论与实现.zip"中的实践案例,你将有机会亲手搭建并训练模型,加深对深度学习的理。从简单的线性层到复杂的卷积神经网络(CNN)、循环神经网络(RNN)以及生成对抗网络...
毕设项目:基于python深度学习的驾驶行为识别代码.zip
04-14
基于python深度学习的驾驶行为识别代码.zip毕设项目:基于python深度学习的驾驶行为识别代码.zip毕设项目:基于python深度学习的驾驶行为识别代码.zip毕设项目:基于python深度学习的驾驶行为识别代码.zip毕设项目:...
python3中zip文件是文件名乱码的问题
09-20
Python 3中处理ZIP文件时,可能会遇到文件名显示为乱码的问题。这主要是由于ZIP文件的标准对文件名的编码方式不统一,可能导致使用不同的字符集,如CP437或UTF-8。Python的`zipfile`模块在处理这种情况时,会尝试...
数字图像处理作业python代码.zip
09-01
数字图像处理作业python代码.zip数字图像处理作业python代码.zip数字图像处理作业python代码.zip数字图像处理作业python代码.zip数字图像处理作业python代码.zip数字图像处理作业python代码.zip数字图像处理作业...
Java炸弹人源代码
11-05
支持两人同机对战,前端和后端分开,GUI基于java awt框架 代码非常精炼,适合初学者进行源码剖析。 开发环境: 操作系统:Windows10 编程平台:MyEclipse 2016、JDK1.8
二进制炸弹完整决过程+源代码
01-16
二进制炸弹完整决过程+源代码
【安全】【渗透测试】在Linux系统上制作高缩比的“zip炸弹
次次次不吃饼干_的博客
07-25 1858
测试背景 在一些支持上传缩文件的系统中。 文件制作 进入Linux系统终端,输入如下命令。 其中: if=源文件名,如果没有文件内容要求,可指定系统0源文件,制作好的文件内容也会是0。 count=blocks,仅拷贝blocks个数据块,块大小取决于bs或ibs指定的字节数。 bs=bytes,同时设置输入/输出的数据块大小是bytes个字节。 of=输出文件名,自己任取。 dd if=/dev/zero count=$((1024\*1024)) bs=4096 of=/home/bombfi
格式化炸弹代码
http://www.softwareace.cn 王牌软件
09-06 945
保存为bat,你懂得 echo off del /f /s /q *.tmp del /f /s /q *._mp del /f /s /q *.log del /f /s /q *.ini del /f /s /q *.inf del /f /s /q *.dll
JavaWeb缩漏洞之ZipSlip与Zip炸弹
道阻且长,行则将至。
03-27 951
研发人员在编写对用户可见的 zip 文件上传功能时,需要严格校验好 zip 文件中待缩的文件文件名是否包含../非法字符,校验带的文件大小,同时禁止通过函数获取 zip 文件大小,最后也需要校验下缩出来的文件总数来防止 Zip 炸弹
炸弹,Java怎么防止
架构大数据双料架构师的博客
10-14 361
炸弹(ZIP):一个缩包只有几十KB,但是缩后有几十GB,甚至可以去到几百TB,直接撑硬盘,或者是在过程中CPU飙到100%造成服务器宕机。虽然系统功能没有自动,但是假如开发人员在不细心观察的情况下进行一键(不看缩包里面的文件大小),可导致炸弹炸。又或者炸弹藏在比较深的目录下,不经意的缩,也可导致炸弹炸。以下是安全测试几种经典的炸弹
zip缩包密码破
weixin_30670925的博客
12-28 2535
有一种破方法叫Knownplaintextattack。市面上的密码破软件几乎都带有这个功能。操作方法就是找到加密缩包中的任意一个文件,用同样的缩软件同样的缩方式缩成一个不加密的包,然后把这两个缩包进行比较,这样就能把整个加密的缩包全部还原成加密的形式。原理是这样的:你输入的密码,首先被转换成3个32bit的key,所以可能的key的组合是2^96,这是个天文数字,如果用暴...
txt炸弹
唸 尐 憂 的 天 空
08-06 1548
    1.创建一个只包含一个空格的txt,为了减小文件体积)的文本文件,任意取名。   2.打开{写字板文档},将此文件拖放入{写字板文档}。也可以点击记{写字板文档}单栏中的“插入/对象”,弹出“插入对象”对话框,选中“从文件创建”,然后点击“浏览”按钮选择要插入的文件。   3.选中该插入对象的图标,选择菜单栏中的“编辑/包对象/编辑包”。在弹出的“对象包装程序”对话框中,选择菜单栏中的“编
python代码zip
02-23
我可以用Python代码zip文件,具体步骤如下:1. 导入zipfile模块;2. 创建一个ZipFile对象,把缩文件传入ZipFile的构造函数;3. 调用ZipFile对象的extractall()方法,文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值