ジップ爆弾から身を守るにはどうすればいいですか？

Question

私はちょうど約zip bombsを読んでいます。つまり、非常に大量の圧縮率の高いデータ（00000000000000000 ...）を含むzipファイルです。

開いたとき、彼らは、サーバーのディスクを埋めます。

ジップファイルを検出するには、の前にを解凍しますか？

UPDATEこれはPythonまたはJavaでどのように行われますか教えてください。

Answer 1

Pythonでこれを試してみてください：

ウィキペディアに説明の上に読み

import zipfile 
z = zipfile.ZipFile('c:/a_zip_file') 
print 'total files size=', sum(e.file_size for e in z.infolist()) 
z.close() 

Answer 2

使用するデコンプレッサZIPを使用すると、そのデータを使用することができ、オリジナルと圧縮サイズのデータ​​を提供することができます。それ以外の場合は、解凍を開始し、出力サイズを監視します。

Answer 3

最初のzipヘッダを確認してください:)

Answer 4

を使用すると、一時保管のためのシステムドライブを使用していないことを確認してください。ウイルススキャナが遭遇した場合、ウイルススキャナがそれをチェックするかどうかはわかりません。

また、あなたは、zipファイル内の情報を見て、コンテンツのリストを取得することができます。これを行うにはどのようにあなたがより多くの情報を提供する必要があるので、ファイルを抽出するために使用するユーティリティによって異なり、ここで

Answer 5

-

拒否圧縮ファイルを含む圧縮ファイル。
        ZipFile.entries()を使用してファイルのリストを取得し、ZipEntry.getName()を使用してファイル拡張子を探します。
設定されたサイズを超えるファイルを含む圧縮ファイルを拒否するか、起動時にサイズを判断できません。
       ファイルを反復処理しながら、ファイルサイズを取得するためにZipEntry.getSize()を使用しています。

Answer 6

アップロードプロセスがディスクのいっぱいになるほどのデータを書き込まないようにします。つまり、問題の原因の1つだけではなく、問題を解決します。

Answer 7

Zipは、ERM、 "面白い" 形式です。堅牢なソリューションは、データをストリーミングし、十分な時間が経過したら停止します。 Javaでは、ZipFileではなくZipInputStreamを使用してください。後者の場合は、データを一時的なファイルに保存する必要がありますが、これもまた最大のアイデアではありません。