标签: java security zip
因此,有两种方法可以攻击某些接受zip的服务器。
拉链(具有路径遍历),因此您可以将内容保存在拉链之外
您上传了一个压缩炸弹,它很小但在解压缩https://en.wikipedia.org/wiki/Zip_bomb
因此,可以通过简单的检查来避免第一个。 https://snyk.io/research/zip-slip-vulnerability#java
但是如何避免碰到第二个?
计算我在解压缩过程中写入的字节,如果还有更多的字节,那么取消X个字节?