记. ZIP炸弹防御问题

ZIP炸弹防御:解压大小校验问题解析
最新推荐文章于 2025-09-05 14:33:13 发布
原创 最新推荐文章于 2025-09-05 14:33:13 发布 · 8k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#zip炸弹 #zip解压大小

本文讲述了在遇到ZIP炸弹攻击时,后台系统未能有效识别的问题。通过排查,发现校验ZIP解压大小的代码存在缺陷。文章详细描述了从问题定位、代码阅读到寻找替代方案的过程,包括遇到的`ZipException`和编码问题,并最终优化了解压大小计算的效率。

背景:

测试组搞了个“ZIP炸弹”传给后台,发现后台并没有识别,一度怀疑后台是不是偷懒了压根没有做安全校验。

于是,激动万分地给我提了个单。

排查:

阅读同事的代码,发现有做校验,步骤如下:

  1. 第一步,校验ZIP压缩包大小。
  2. 第二步,校验ZIP压缩包解压后的大小。

于是随便拿了个ZIP包本地验了一把,明明算得很准啊,一个字节都不差,是不是测试搞错了?!

再去测试组要了他们搞出来的变态ZIP包验了一把,发现校验得出的解压大小比实际小了许多。

问题:

显然,问题就出在第二步。

有个ZipUtil工具类,注释清一色地道英文,不知道原作者是哪位大神,也不知最初是谁从哪里拷过来的。

这个类提供的校验方法是通过传入ZIP文件的输入流,然后一顿字节操作猛如虎得出解压大小。计算过程涉及的变量和运算没有任何注释,看不懂啊——我摊牌了!

解决:

既然看不懂改不动,网上找替代方案吧。

很快,找到了一个方法改造一下:

/**
  * 计算ZIP文件的解压大小
  * 
  * @param filePath 文件路径
  * @return 解压大小
  */
public static long getUncompressedSize(String filePath) throws IOException {
    ZipFile zipFile = new ZipFile(filePath);
	
    long uncompressedSize = 0;
    
    Enumeration<? extends ZipEntry> entries = zipFile.entries();
	
    while (entries.hasMoreElements()) {
        uncompressedSize += entries.nextElement().getSize();
最低0.47元/天 解锁文章
ZIP炸弹逆向工程:识别与解压超深层嵌套结构的防御策略.pdf
06-18
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
CSAPP实验代码与学习笔录-深入理解计算机系统实验-计算机系统基础原理实践-数据结构与算法分析-二进制炸弹破解-缓冲区溢出攻击防御-汇编语言编程-内存管理机制研究-处理器体.zip
07-29
尤其是在计算机科学与技术领域的深入研究中,掌握计算机系统的基础原理、数据结构与算法分析、二进制炸弹的破解技巧、缓冲区溢出攻击的防御策略、汇编语言编程以及内存管理机制等方面的知识,已成为一名合格的计算机...
“内存炸弹”DDOS拒绝服务攻击
摔不死的笨鸟的博客
09-10 979
内存炸弹DDOS拒绝服务攻击
惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!
09-12 1372
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息 如何制作解压炸弹 42.zip是很有名的zip炸弹。一个42KB的文件,...
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
2301_79455190的博客
09-05 760
检查项防护内容路径合法性检查防止 ZIP 路径穿越攻击文件数上限防止上传含成千上万小文件的压缩包单文件大小限制防止解压出超大单个文件总解压体积限制阻止总体积膨胀的 ZIP 炸弹🧨攻击点🎯攻击方式🛡防御建议路径控制- 路径穿越../- 绝对路径注入 - 上传符号链接- 使用规范化路径 - 校验目标路径是否在允许目录内 - 禁止软链接上传文件类型绕过- 双扩展.php.jpg- 特殊字符- 控制字符/Unicode 后缀绕过 - 魔术头伪装。
在java上传接口防止zip炸弹攻击
melck的博客
10-25 2199
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
怎么保护自己的java组件_关于java:我如何保护自己免受拉链炸弹袭击?
weixin_29297127的博客
02-28 242
我刚看过拉链炸弹,即包含大量高度可压缩数据(00000000000000000 ...)的zip文件。打开时,它们会填满服务器的磁盘。在解压缩之前,如何检测zip文件是拉链炸弹?更新你能告诉我在Python或Java中是如何完成的?压缩率可以像1000比1那样 - 不仅耗费大量磁盘空间,而且还需要很长时间来写入输出。关于gzip和bzip2的相关问题。在Python中试试这个:import zip...
当Python遇到zip解压炸弹,防护不到位让你泪流满面!
清风Python
09-09 2782
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。 这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。 解压炸弹内,还可能存在病毒,...
java 压缩检验,如何使用Java 10检测zip-炸弹
weixin_42524703的博客
02-26 938
Apache POI is opening zip-files on a regular basis because Microsoft Excel/Word/... files are zip-files in their newer format. In order to prevent some types of denial-of-service-attacks, it has funct...
bomb.zip
09-03
这个文件可能是单纯的数据文件、一个教学工具、测试代码,或者更令人警惕的是,它可能是一个被设计用于测试或研究安全问题的程序。在计算机安全领域,所谓的“逻辑炸弹”或“bomb”是一种常见的恶意软件。这类恶意...
ZIP炸弹怎样反击扫描器?
weixin_33895516的博客
09-13 487
本文讲的是ZIP炸弹怎样反击扫描器?,如果你曾经维护一个网站或管理过服务器,那么你会清楚,总会人会尝试攻击你。当我在13岁时首次托管我自己的linux服务器时,我每天阅读日志,并查看每天有多少尝试连接到linux服务器(实际上是一个老的ThinkPad T21)的IP(主要来自中国和俄罗斯)。 实际上如果你有一个linux服务器,SSH是开放模式,你...
java学习之zip炸弹攻击
dayouzi的博客
05-13 3584
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
《Java安全编码标准》一2.5 IDS04-J限制传递给ZipInputStream的文件大小
weixin_33955681的博客
08-01 865
2.5 IDS04-J限制传递给ZipInputStream的文件大小 通过对java.util.ZipInputStream的输入进行检查,可以防止消耗过多的系统资源。当资源使用大大多于输入数据所使用的资源的时候,就会出现拒绝服务问题。当需要解压一个小文件,比如zip、gif或者gzip编码的HTTP内容,会消耗过多的资源时,并且在压缩率极高的情况下,...
JavaWeb解压缩漏洞之ZipSlip与Zip炸弹
道阻且长,行则将至
03-27 3027
研发人员在编写对用户可见的 zip 文件上传功能时,需要严格校验zip 文件中待解压缩的文件文件名是否包含../非法字符,校验解压的文件大小,同时禁止通过函数获取 zip 文件大小,最后也需要校验解压缩出来的文件总数来防止 Zip 炸弹
jszip实现检测zip文件的完整性
2301_80839643的博客
12-05 996
jszip
【错误录】导入xlsx文件 解析文件内容时出错java.io.IOException: Zip bomb detected 错误原因及解释
热门推荐
chirp_CQ的博客
04-13 1万+
java.io.IOException: Zip bomb detected! The file would exceed the max. ratio java后端导入文件解析报错解决办法
压缩炸弹,Java怎么防止
架构大数据双料架构师的博客
10-14 977
压缩炸弹(ZIP):一个压缩包只有几十KB,但是解压缩后有几十GB,甚至可以去到几百TB,直接撑爆硬盘,或者是在解压过程中CPU飙到100%造成服务器宕机。虽然系统功能没有自动解压,但是假如开发人员在不细心观察的情况下进行一键解压(不看压缩包里面的文件大小),可导致压缩炸弹。又或者压缩炸弹藏在比较深的目录下,不经意的解压缩,也可导致压缩炸弹。以下是安全测试几种经典的压缩炸弹
世界上最大的ZIP炸弹,附样本下载
weixin_58203004的博客
09-05 998
世界上最大的ZIP炸弹,附样本下载
setMinInflateRatio -Djdk.util.zip.
最新发布
10-14
- 在Java文档中,`java.util.zip.Inflater`类有一个方法`void setMinInflateRatio(long minInflateRatio)`,该方法允许设置一个最小膨胀比率,以避免恶性膨胀攻击(类似于zip炸弹)。它指定了输入字节与输出字节的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值