java学习之zip炸弹攻击

最新推荐文章于 2024-08-23 11:28:20 发布
最新推荐文章于 2024-08-23 11:28:20 发布
阅读量2.7k 收藏 26
点赞数 28
分类专栏: 代码 java 审计 文章标签: java 代码规范 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/138680182
版权

一、概述

Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。

当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击

Zip 炸弹的大致原理是 zip 炸弹文件中有大量刻意重复的数据,这种重复数据在压缩的时候是可以被丢弃的,这也就是压缩后的文件其实并不大的原因。最为典型的 Zip 炸弹就是 42.zip,一个 42KB 的文件,解压完其实是个 4.5 PB(1 PB=1024 TB) 的“炸弹”,详细原理可参见:A better zip bomb

二、工具演示

github上有制作zip炸弹的现成项目:https://github.com/CreeperKong/zipbomb-generator

脚本使用方式:(使用python3)

python zipbomb.py --mode=quoted_overlap --num-files=1 --compressed-size=3999999 > test.zip

--num-files  表示压缩包内文件数目

--compressed-size  表示压缩后大小

如果开始的时候num_files增大的话,其实解压后大小会成倍增加;所以如果服务器接收客户端传过来的zip文件直接进行解压缩而不校验文件夹内部文件的大小的话,将会引发zip炸弹从而耗尽服务器资源,形成Dos攻击。

三、漏洞代码演示

漏洞代码1:(文件名及大小未限制】

ZipBombvul.java

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.util.zip.ZipEntry;
import java.util.zip.ZipInputStream;

public class ZipBombVul {
    // 定义缓冲区大小为512字节
    static final int BUFFER = 512;

    // 解压方法,接收一个文件名作为参数
    public final void unzip(String fileName) throws java.io.IOException {
        // 创建文件输入流对象,读取压缩文件
        FileInputStream fis = new FileInputStream(fileName);
        // 创建压缩输入流对象,用于读取压缩文件中的条目
        ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));
        ZipEntry entry;

        // 循环遍历压缩文件中的每个条目
        while ((entry = zis.getNextEntry()) != null) {
            // 打印当前正在解压的条目名
            System.out.println("Extracting:" + entry);

            // 定义变量用于读取数据的计数
            int count;
            // 创建字节数组,用于临时存储读取的数据
            byte data[] = new
最低0.47元/天 解锁文章
java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compressed file size
hlli86的博客
01-30 5661
文章目录java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compressed file size to the size of the expanded data.1、使用poi导入excel文件时碰到如下问题2、问题的解决方法 java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compr
java炸弹人游戏.zip
11-03
在《Java炸弹人游戏》中,玩家需要精确计算放置炸弹的位置和时间,以达到最佳的攻击效果,而程序则需要在后台不断运行复杂的算法来处理这些逻辑。 《Java炸弹人游戏》的开发不仅仅是一个游戏的制作过程,也是一个...
世界上最大的ZIP炸弹:114885734 Quettabytes,一个普通人无法想象的量级。
ooooooih的博客
08-23 861
1148857344 Quettabytes,这个量级可能很多人没有概念
读取excel报错 Zip bomb detected! The file would exceed the max. ratio of compressed file size to the
愤怒的苹果ext的博客
11-10 2万+
读取excel报错 Zip bomb detected! The file would exceed the max. ratio of compressed file size to the size of the expanded data,完整报错信息如下所示。 java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compressed file size to the size of th.
apache poi-检测到Zip Bomb解决方案
weixin_41879185的博客
12-12 2275
id=58499,以获取相关问题和ZIp-bomb异常,同时编写较大格式的Excel(.xlsx),以及如何确定何时出现Zip Bomb错误检索Excel文件样式表是否合法?因此,如果您创建的文件包含异常内容,例如如果许多行/列具有相同的内容,则可以使用这些保护措施并收到上述异常。是一个用于攻击向量的术语,其中一个小的zip文件会扩展为一个非常大的未压缩文件,因此会引起诸如耗尽内存或磁盘空间等问题。由于.xlsx文件实际上是包含XML文件的压缩文件,因此有可能在POI中引起这种zip bomb漏洞。
ZIP BOMB
冷风
11-04 3427
1.OPEN GOOGLE ENGLISH SEARCH ZIP BOMB2.http://en.wikipedia.org/wiki/Zip_bomb3.http://www.unforgettable.dk/Password: 42
java上传接口防止zip炸弹攻击
melck的博客
10-25 1810
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击
炸弹人2 炸弹爆炸动画.zip
04-23
首先,"炸弹人2"是一款经典的街机游戏,其中的主角可以放置炸弹来消除障碍或攻击敌人。爆炸动画是游戏中的关键视觉元素,它不仅需要展示爆炸的威力,还要提供反馈,使玩家能够理解游戏状态。在设计爆炸动画时,...
Java实现的Zip压缩与解压缩工具教程
例如,ZIP炸弹是一种利用压缩算法的特性创建非常小的压缩文件,但实际上包含大量重复的、未压缩的数据,当解压缩时可以占用大量磁盘空间,导致拒绝服务攻击(DoS)。因此,在实现zip/unzip功能时,应当加入适当的...
一个采用MVC架构设计、Java实现的泡泡堂游戏.zip
最新发布
11-23
泡泡堂游戏是一款经典的网络游戏,玩家在游戏中驾驶船只,通过投掷炸弹攻击对手或障碍物。在此次讨论的文件内容中,包含了一个采用MVC架构设计、Java语言实现的泡泡堂游戏项目。 首先,MVC架构在游戏开发中的应用...
(Java)关键字zip暴力破解(穷举)
03-01
就是简单的组合所有的关键字,穷举法尝试,使用了zip4j_1.3.2.jar来进行解压
JavaWeb解压缩漏洞之ZipSlip与Zip炸弹
道阻且长,行则将至
03-27 2163
研发人员在编写对用户可见的 zip 文件上传功能时,需要严格校验好 zip 文件中待解压缩的文件文件名是否包含../非法字符,校验带解压的文件大小,同时禁止通过函数获取 zip 文件大小,最后也需要校验下解压缩出来的文件总数来防止 Zip 炸弹
java 压缩检验,如何使用Java 10检测zip-炸弹
weixin_42524703的博客
02-26 888
Apache POI is opening zip-files on a regular basis because Microsoft Excel/Word/... files are zip-files in their newer format. In order to prevent some types of denial-of-service-attacks, it has funct...
zip炸弹攻击 输入_攻击您的输入
danpu0978的博客
05-28 1800
zip炸弹攻击 输入 尽管我一直反对用Java用final来绘制所有代码 ,并且已经接受了在JavaScript中使用const的方便,因为它通常会迫使某些纪律成为免费代码,但是有一个潜在的规则可以使我想要到处都有更多的常量。 规则是一个函数应该返回一些东西 。 通过将所有变量都视为不可变的常量(包括函数的输入),可以在一定程度上执行此操作。 通过这种支持线程安全功能编程的方法,从结构上讲...
压缩炸弹(zipbomb)制作(附演示)
热门推荐
fenwangduanyan的博客
01-21 2万+
最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机 1、生成ZIP炸弹: https://github.com/CreeperKong/zipbomb-generator python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip –num-files :压缩包包含的文件数量 –compresse
处理导入Excel文件过大导致Zip bomb detected的问题
后端开发
06-14 2344
此错误提示文件大小超过了压缩文件大小与解压后数据大小之比的最大限制,为了处理这一问题,可以在方法体的顶部添加一行代码来调整这一限制。调整垃圾回收器的设置,以提高内存管理的效率,例如,可以使用G1垃圾回收器。和增加堆内存大小外,还有一些优化策略可以帮助处理大文件。
EasyExcel 遭遇 java.io.IOException: Zip bomb detected
AlbenXie的博客
12-19 4623
在报错代码上一行加上,问题得以解决(阅读报错信息,发现 ratio: 0.009999633802473054,而Limits: MIN_INFLATE_RATIO: 0.01,setMinInflateRatio() if you need to work with files which exceed this limit)在网上搜索其他两种设置: 代表将接受所有可能的比率。
【错误记录】导入xlsx文件 解析文件内容时出错java.io.IOException: Zip bomb detected 错误原因及解释
chirp_CQ的博客
04-13 1万+
java.io.IOException: Zip bomb detected! The file would exceed the max. ratio java后端导入文件解析报错解决办法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值