Может ли zip-файл быть исполняемым?
Может ли почтовый файл быть исполняемым? Например, вы можете иметь вирус в виде почтового индекса. Очевидно, что вирус может быть внутри zip-файла, но может ли он работать?
Причина, по которой я спрашиваю, состоит в том, что у меня есть веб-сайт, на котором в настоящее время разрешены только расширения файлов jpg, jpeg, png и gif, и сегодня у меня была идея разрешить людям загружать пакеты значков, но пакеты значков должны быть в форме почтового индекса. потому что было бы так много изображений.
Мне не нужен мой сайт заражен вирусами.
2 ответа
Теоретически, некоторые инструменты для распаковки zip-файлов могут иметь уязвимости, которые могут привести к выполнению некоторого кода. Тем не менее, это действительно маловероятно, что это ваш случай. У несжатых инструментов для вашего языка программирования, вероятно, нет таких уязвимостей, и если веб-сервер работает под управлением UNIX-подобной операционной системы (например, Linux), вирусы Windows не будут выполняться в любом случае.
Но вы должны также проверить каждый путь к файлу при извлечении файлов из zip-архива, так как это может быть абсолютный путь или файл с .. (две точки) компонентов, если библиотека распаковки не проверяет это по умолчанию (например, модуль zip file в Python был только до выпуска Python 2.7.4). В противном случае файлы могут быть извлечены в другое место на вашем диске.
Почтовый индекс может вызвать некоторые проблемы, когда вы пытаетесь распаковать его: