我正在构建一个应用程序,用户可以在其中上传文件,并且需要将其提取到服务器上。我担心这可能会带来多个安全漏洞。
This answer提出了一个与我的问题类似的问题,但似乎只解决了相对文件提取问题。
我没有找到有关大小炸弹(也称为gzip)的有关zip和tar.gz文件的任何信息。我应该在提取之前手动检查大小吗?对于不知道这种漏洞的人来说,这似乎很危险。
最后一个问题是:是否有关于安全处理zip和tar.gz文件的任何更新信息,特别是考虑到以前的两个漏洞来源?我是否也想知道这篇文章中是否还有其他我没有意识到的担忧可能会带来安全隐患?
这个问题是从Python的角度提出的,但欢迎提供其他与使用unix工具安全处理这些文件有关的信息。
我还找到了有关提取tar文件here的信息。