记. ZIP炸弹防御问题

最新推荐文章于 2024-09-21 14:23:11 发布
最新推荐文章于 2024-09-21 14:23:11 发布
阅读量7.8k 收藏 15
点赞数 2
分类专栏: 工作百思 文章标签: zip炸弹 zip解压大小
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paynezhang/article/details/92849608
版权
本文讲述了在遇到ZIP炸弹攻击时,后台系统未能有效识别的问题。通过排查,发现校验ZIP解压大小的代码存在缺陷。文章详细描述了从问题定位、代码阅读到寻找替代方案的过程,包括遇到的`ZipException`和编码问题,并最终优化了解压大小计算的效率。
摘要由CSDN通过智能技术生成

背景:

测试组搞了个“ZIP炸弹”传给后台,发现后台并没有识别,一度怀疑后台是不是偷懒了压根没有做安全校验。

于是,激动万分地给我提了个单。

排查:

阅读同事的代码,发现有做校验,步骤如下:

  1. 第一步,校验ZIP压缩包大小。
  2. 第二步,校验ZIP压缩包解压后的大小。

于是随便拿了个ZIP包本地验了一把,明明算得很准啊,一个字节都不差,是不是测试搞错了?!

再去测试组要了他们搞出来的变态ZIP包验了一把,发现校验得出的解压大小比实际小了许多。

问题:

显然,问题就出在第二步。

有个ZipUtil工具类,注释清一色地道英文,不知道原作者是哪位大神,也不知最初是谁从哪里拷过来的。

这个类提供的校验方法是通过传入ZIP文件的输入流,然后一顿字节操作猛如虎得出解压大小。计算过程涉及的变量和运算没有任何注释,看不懂啊——我摊牌了!

解决:

既然看不懂改不动,网上找替代方案吧。

很快,找到了一个方法改造一下:

/**
  * 计算ZIP文件的解压大小
  * 
  * @param filePath 文件路径
  * @return 解压大小
  */
public static long getUncompressedSize(String filePath) throws IOException {
    ZipFile zipFile = new ZipFile(filePath);
	
    long
最低0.47元/天 解锁文章
持之
关注
专栏目录
惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!
09-12 1242
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息 如何制作解压炸弹 42.zip是很有名的zip炸弹。一个42KB的文件,...
雷霆战机.zip
03-26
2. 战机选择:游戏中通常会有多种不同性能的战机供玩家选择,包括攻击力、防御力、速度等属性的差异。玩家可以根据自己的游戏风格和战术需求选择合适的战机。 3. 武器系统:每架战机配备有主武器和副武器,主武器...
在java上传接口防止zip炸弹攻击
melck的博客
10-25 1426
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
hutool 解压缩读取源文件和压缩文件大小失败导致报错
最新发布
fenglllle的博客
09-21 1118
最近处理老项目中的问题,升级安全jar,发现hutool的jar在解压缩的时候报错了,实际上是很简单的防御zip炸弹攻击的手段,但是却因为hutool的工具包取文件大小有bug,造成了解压缩不能用,报错:invalid sizes: compressed -1, uncompressed -1,理论上使用这个API的所有方法都有问题。影响范围hutool 5.8.11~5.8.16,5.8.17修复。 demo准备 构建一个demo吧:JDK8+hutool 5.8.16 没考虑流关闭问题,实际生
怎么保护自己的java组件_关于java:我如何保护自己免受拉链炸弹袭击?
weixin_29297127的博客
02-28 194
我刚看过拉链炸弹,即包含大量高度可压缩数据(00000000000000000 ...)的zip文件。打开时,它们会填满服务器的磁盘。在解压缩之前,如何检测zip文件是拉链炸弹?更新你能告诉我在Python或Java中是如何完成的?压缩率可以像1000比1那样 - 不仅耗费大量磁盘空间,而且还需要很长时间来写入输出。关于gzip和bzip2的相关问题。在Python中试试这个:import zip...
当Python遇到zip解压炸弹,防护不到位让你泪流满面!
清风Python
09-09 2490
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。 这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。 解压炸弹内,还可能存在病毒,...
java 压缩检验,如何使用Java 10检测zip-炸弹
weixin_42524703的博客
02-26 844
Apache POI is opening zip-files on a regular basis because Microsoft Excel/Word/... files are zip-files in their newer format. In order to prevent some types of denial-of-service-attacks, it has funct...
ZIP炸弹怎样反击扫描器?
weixin_33895516的博客
09-13 406
本文讲的是ZIP炸弹怎样反击扫描器?,如果你曾经维护一个网站或管理过服务器,那么你会清楚,总会人会尝试攻击你。当我在13岁时首次托管我自己的linux服务器时,我每天阅读日志,并查看每天有多少尝试连接到linux服务器(实际上是一个老的ThinkPad T21)的IP(主要来自中国和俄罗斯)。 实际上如果你有一个linux服务器,SSH是开放模式,你...
基于BP神经网络的有控炸弹攻击区拟合分析.zip
10-17
应用BP神经网络进行有控炸弹攻击区的拟合分析,不仅可以提供精确的预测,还可以揭示不同参数对攻击范围的影响程度,为战术规划和防御策略制定提供科学依据。然而,值得注意的是,任何预测模型都有其局限性,实际操作...
程序反跟踪调试模块.zip易语言项目例子源码下载
03-21
本压缩包“程序反跟踪调试模块.zip”包含了一个易语言项目的源码,提供了对程序反跟踪调试模块的具体实现,对于提升开发者在逆向工程和安全防护方面的技能具有极大的帮助。以下将详细解析这个项目中的关键知识点。 ...
POC-bomber-main.zip
11-21
"POC-bomber"这个名字暗示了这个工具可能是一个漏洞利用工具,用于发送大量特定的请求或者数据包,模拟“炸弹”般的攻击,以测试目标系统对这类攻击的响应和防御能力。"main"则可能指的是该工具的主要执行部分,即...
java学习之zip炸弹攻击
dayouzi的博客
05-13 1851
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
《Java安全编码标准》一2.5 IDS04-J限制传递给ZipInputStream的文件大小
weixin_33955681的博客
08-01 801
2.5 IDS04-J限制传递给ZipInputStream的文件大小 通过对java.util.ZipInputStream的输入进行检查,可以防止消耗过多的系统资源。当资源使用大大多于输入数据所使用的资源的时候,就会出现拒绝服务问题。当需要解压一个小文件,比如zip、gif或者gzip编码的HTTP内容,会消耗过多的资源时,并且在压缩率极高的情况下,...
JavaWeb解压缩漏洞之ZipSlip与Zip炸弹
道阻且长,行则将至。
03-27 1571
研发人员在编写对用户可见的 zip 文件上传功能时,需要严格校验zip 文件中待解压缩的文件文件名是否包含../非法字符,校验解压的文件大小,同时禁止通过函数获取 zip 文件大小,最后也需要校验解压缩出来的文件总数来防止 Zip 炸弹
jszip实现检测zip文件的完整性
2301_80839643的博客
12-05 691
jszip
【错误录】导入xlsx文件 解析文件内容时出错java.io.IOException: Zip bomb detected 错误原因及解释
chirp_CQ的博客
04-13 1万+
java.io.IOException: Zip bomb detected! The file would exceed the max. ratio java后端导入文件解析报错解决办法
读取excel报错 Zip bomb detected! The file would exceed the max. ratio of compressed file size to the
热门推荐
愤怒的苹果ext的博客
11-10 2万+
读取excel报错 Zip bomb detected! The file would exceed the max. ratio of compressed file size to the size of the expanded data,完整报错信息如下所示。 java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compressed file size to the size of th.
hutool原生ziputil.unzip解压压缩包的坑
m0_69253358的博客
10-09 4174
原因是压缩比例超过hutool默认的一百倍,就促发异常了,解决办法就是将原本ZipUtil.unzip的Api替换为JDK原生Api去解压文件。测试报错Zip bomb zip炸弹。经过测试,ok,完美解决问题
EasyExcel 遭遇 java.io.IOException: Zip bomb detected
AlbenXie的博客
12-19 4282
在报错代码上一行加上,问题得以解决(阅读报错信息,发现 ratio: 0.009999633802473054,而Limits: MIN_INFLATE_RATIO: 0.01,setMinInflateRatio() if you need to work with files which exceed this limit)在网上搜索其他两种设置: 代表将接受所有可能的比率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值