《Java安全编码标准》一2.5 IDS04-J限制传递给ZipInputStream的文件大小

2.5 IDS04-J限制传递给ZipInputStream的文件大小

通过对java.util.ZipInputStream的输入进行检查,可以防止消耗过多的系统资源。当资源使用大大多于输入数据所使用的资源的时候,就会出现拒绝服务问题。当需要解压一个小文件,比如zip、gif或者gzip编码的HTTP内容,会消耗过多的资源时,并且在压缩率极高的情况下,Zip算法的实现本身就会导致zip炸弹(zip bomb)的出现。
zip算法能产生很高的压缩比率?[Mahmoud 2002]。 图2-1显示了一个文件可以从148MB压缩到590KB,压缩比率高达200:1。这个文件包含了多次出现的重复数据,比如交替出现的字符a和b。如果输入数据符合压缩算法的要求,或者可以使用更多的输入数据,或者可以使用其他的压缩方法,甚至还能达到更高的压缩比例。

image

在zip文件中的任何数据,如果其解压后的文件大小超出了一个特定的限制,那么就不应该将它们解压。而这个限制实际上取决于平台的能力。
这条规则是更普遍的规则MSC07-J的一个特例。

2.5.1 不符合规则的代码示例

下面是一个不符合规则的代码示例,它不能检查解压一个文件时所消耗的资源。它会允许操作完成,或者直至本地资源耗尽为止。
static final int BUFFER = 512;

// ...

// external data source: filename
BufferedOutputStream dest = null;
FileInputStream fis = new FileInputStream(filename);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));
ZipEntry entry;
while ((entry = zis.getNextEntry()) != null) {
??System.out.println("Extracting: " + entry);
??int count;
??byte data[] = new byte[BUFFER];
??// write the files to the disk
??FileOutputStream fos = new FileOutputStream(entry.getName());
??dest = new BufferedOutputStream(fos, BUFFER);
??while ((count = zis.read(data, 0, BUFFER)) != -1) {
????dest.write(data, 0, count);
??}
??dest.flush();
??dest.close();
}
zis.close();

2.5.2 符合规则的方案

在这个方案中, while循环中的代码会通过使用ZipEntry.getSize()方法在解压之前,得到zip文档中需解压文件的大小。如果该解压文件过大,比如说超过100MB,那么抛出异常。

static final int TOOBIG = 0x6400000; // 100MB

??// ...

??// write the files to the disk, but only if file is not insanely big
??if (entry.getSize() > TOOBIG) {
????throw new IllegalStateException("File to be unzipped is huge.");
??}
??if (entry.getSize() == -1) {
????throw new IllegalStateException(
????????????????"File to be unzipped might be huge.");
??}
??FileOutputStream fos = new FileOutputStream(entry.getName());
??dest = new BufferedOutputStream(fos, BUFFER);
??while ((count = zis.read(data, 0, BUFFER)) != -1) {
????dest.write(data, 0, count);
??}

2.5.3 风险评估

image

2.5.4 相关规范

image

2.5.5 参考书目

image

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值