java学习之zip炸弹攻击

一、概述

Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。

当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击

Zip 炸弹的大致原理是 zip 炸弹文件中有大量刻意重复的数据,这种重复数据在压缩的时候是可以被丢弃的,这也就是压缩后的文件其实并不大的原因。最为典型的 Zip 炸弹就是 42.zip,一个 42KB 的文件,解压完其实是个 4.5 PB(1 PB=1024 TB) 的“炸弹”,详细原理可参见:A better zip bomb

二、工具演示

github上有制作zip炸弹的现成项目:https://github.com/CreeperKong/zipbomb-generator

脚本使用方式:(使用python3)

python zipbomb.py --mode=quoted_overlap --num-files=1 --compressed-size=3999999 > test.zip

--num-files  表示压缩包内文件数目

--compressed-size  表示压缩后大小

如果开始的时候num_files增大的话,其实解压后大小会成倍增加;所以如果服务器接收客户端传过来的zip文件直接进行解压缩而不校验文件夹内部文件的大小的话,将会引发zip炸弹从而耗尽服务器资源,形成Dos攻击。

三、漏洞代码演示

漏洞代码1:(文件名及大小未限制】

ZipBombvul.javaimport java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.util.zip.ZipEntry;
import java.util.zip.ZipInputStream;public class ZipBombVul {// 定义缓冲区大小为512字节static final int BUFFER = 512;// 解压方法,接收一个文件名作为参数public final void unzip(String fileName) throws java.io.IOException {// 创建文件输入流对象,读取压缩文件FileInputStream fis = new FileInputStream(fileName);// 创建压缩输入流对象,用于读取压缩文件中的条目ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));ZipEntry entry;// 循环遍历压缩文件中的每个条目while ((entry = zis.getNextEntry()) != null) {// 打印当前正在解压的条目名System.out.println("Extracting:" + entry);// 定义变量用于读取数据的计数int count;// 创建字节数组,用于临时存储读取的数据byte data[] = new byte[BUFFER];// 创建文件输出流对象,将解压后的文件写入磁盘,文件名使用条目的名字FileOutputStream fos = new FileOutputStream(entry.getName());// 创建缓冲输出流对象,提高写入性能BufferedOutputStream dest = new BufferedOutputStream(fos, BUFFER);// 循环读取压缩文件中的数据,并写入到解压后的文件中while ((count = zis.read(data, 0, BUFFER)) != -1) {dest.write(data, 0, count);}// 刷新缓冲区,确保所有数据都被写入磁盘dest.flush();// 关闭缓冲输出流dest.close();// 关闭当前条目的压缩流zis.closeEntry();}// 关闭压缩输入流zis.close();}}

bombTest.javaimport java.io.IOException;public class bombTest {public static void main(String[] args) throws IOException {ZipBombVul  bombvul = new ZipBombVul();String filename = "./src/test.zip";//要解压的文件名bombvul.unzip(filename);}
}

运行上述生成的解压代码,磁盘以及内存利用率升高

路径穿越代码演示:

zipBomb.javaimport java.io.FileOutputStream;
import java.io.IOException;
import java.util.zip.ZipEntry;
import java.util.zip.ZipOutputStream;public class zipBomb {public static void main(String[] args) {try {// 创建一个Zip输出流FileOutputStream fos = new FileOutputStream("zip_bomb2.zip");ZipOutputStream zos = new ZipOutputStream(fos);// 添加大量的重复文件for (int i = 0; i < 2; i++) {//生成自定义的文件名,做路径穿越测试String fileName = "../" + i + ".txt";ZipEntry entry = new ZipEntry(fileName);zos.putNextEntry(entry);// 写入大量的重复数据(10MB)byte[] data = new byte[10 * 1024 * 1024];zos.write(data);zos.closeEntry();}// 关闭Zip输出流zos.close();System.out.println("Zip bomb created successfully!");} catch (IOException e) {e.printStackTrace();}}
}

漏洞代码2(错误的修复:使用getSize()方法)

zipbombVul.javaimport java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.util.zip.ZipEntry;
import java.util.zip.ZipInputStream;
public static final int BUFFER = 512; // 定义缓冲区大小为 512 字节
public static final int TOOBIG = 0x6400000; // 最大文件大小为 100MBpublic final void unzip(String filename) throws java.io.IOException {// 打开要解压的文件FileInputStream fis = new FileInputStream(filename);// 创建 ZipInputStream 对象,用于读取 Zip 文件ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));ZipEntry entry;try {// 循环遍历 Zip 文件中的每个条目while ((entry = zis.getNextEntry()) != null) {// 打印当前正在解压的条目System.out.println("Extracting: " + entry);int count;byte data[] = new byte[BUFFER]; // 创建缓冲区数组,用于读取数据// 如果文件过大,抛出异常if (entry.getSize() > TOOBIG) {throw new IllegalStateException("File to be unzipped is huge.");}// 如果文件大小为 -1,可能是一个巨大的文件,抛出异常if (entry.getSize() == -1) {throw new IllegalStateException("File to be unzipped might be huge.");}// 创建文件输出流,准备将解压后的数据写入磁盘FileOutputStream fos = new FileOutputStream(entry.getName());BufferedOutputStream dest = new BufferedOutputStream(fos, BUFFER);// 读取并写入数据,直到文件结束while ((count = zis.read(data, 0, BUFFER)) != -1) {dest.write(data, 0, count);}// 刷新并关闭输出流dest.flush();dest.close();// 关闭当前 ZipEntry 条目zis.closeEntry();}} finally {// 最终关闭 ZipInputStreamzis.close();}
}

上述代码中,使用了getsize获取压缩包中文件条目大小

压缩大小(compressed size)指的是文件在压缩包内的大小,也就是文件被压缩后的大小。未压缩大小(uncompressed size)指的是文件在解压缩后的大小,即原始文件的大小。在 Java 中,ZipEntry 中的 getSize 方法获取的是未压缩大小,而 setCompressedSize 方法用于设置压缩大小。

举个例子,假设有一个 1MB 大小的文件,在将其添加到 ZIP 压缩包时,可以选择是否对该文件进行压缩。如果选择进行压缩,该文件在 ZIP 压缩包内的大小可能会减小到 500KB(假设压缩比是 50%)。在这种情况下,文件的压缩大小就是 500KB,而未压缩大小仍然是 1MB。

虽然这里使用getsize判断文件大小,但是实际上可以伪造ZIP文件中用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的,本地资源实际仍可能被过度消耗

绕过步骤:

下载用于修改二进制文件的 010editor 软件,安装后打开上面演示用的 Zip包,修改其中属性值

现在去解压,就不会报文件太大的错误了

值得注意的是,从上述截图也可以看到修改了 zip 文件的 frUncompressedsize 字段的值以后,解压缩 zip 文件会报错,如果直接使用 7-zip 进行解压缩的话有报错但是可以提取文件

但是通过实践也可以看到,通过上述 Java 代码可成功解压缩出来目标文件,这样子的话就不影响我们通过修改 zip 文件的 frUncompressedsize 字段的值,制作 zip 炸弹绕过服务端的文件大小校验检测,完成攻击利用。

小结:这个错误示例调用ZipEntry.getSize()方法在解压提取一个条目之前判断其大小,以试图解决之前的问题。但不幸的是,恶意攻击者可以伪造ZIP文件中用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的,本地资源实际仍可能被过度消耗;同时依旧没有检测文件名。

四、安全编码

参照《OpenHarmony-Java-secure-coding-guide》

private static final long MAX_FILE_COUNT = 100L;
private static final long MAX_TOTAL_FILE_SIZE = 1024L * 1024L;...public void unzip(FileInputStream zipFileInputStream, String dir) throws IOException {long fileCount = 0;long totalFileSize = 0;try (ZipInputStream zis = new ZipInputStream(zipFileInputStream)) {ZipEntry entry;String entryName;String entryFilePath;File entryFile;byte[] buf = new byte[10240];int length;while ((entry = zis.getNextEntry()) != null) {entryName = entry.getName();//检验文件名合法性entryFilePath = sanitizeFileName(entryName, dir);entryFile = new File(entryFilePath);//判断条目是否是目录if (entry.isDirectory()) {creatDir(entryFile);continue;}//文件数+1,比较文件数是否大于指定的最大条目数fileCount++;if (fileCount > MAX_FILE_COUNT) {throw new IOException("The ZIP package contains too many files.");}try (FileOutputStream fos = new FileOutputStream(entryFile)) {while ((length = zis.read(buf)) != -1) {totalFileSize += length;//此处不再同通过zipEntry.getSize()函数获取 zip 文件大小,而是通过文件数据流直接读取整个文件的数据并统计大小zipBombCheck(totalFileSize);fos.write(buf, 0, length);}}}}
}//用于处理文件名,确保文件路径的安全性
private String sanitizeFileName(String fileName, String dir) throws IOException {// 创建一个 File 对象,表示解压目标目录下的目标文件File file = new File(dir, fileName);// 获取文件的规范路径String canonicalPath = file.getCanonicalPath();// 检查规范路径是否以目标目录为前缀,如果是,则表示路径合法if (canonicalPath.startsWith(dir)) {return canonicalPath;}// 如果规范路径不以目标目录为前缀,抛出异常,表示路径不安全throw new IOException("Path Traversal vulnerability: ...");
}//创建目录
private void creatDir(File dirPath) throws IOException {boolean result = dirPath.mkdirs();if (!result) {throw new IOException("Create dir failed, path is : " + dirPath.getPath());}...
}//用于检查 ZIP 炸弹攻击,即解压缩后文件总大小是否超出限制
private void zipBombCheck(long totalFileSize) throws IOException {if (totalFileSize > MAX_TOTAL_FILE_SIZEG) {throw new IOException("Zip Bomb! The size of the file extracted from the ZIP package is too large.");}
}

五、总结

1、检查压缩包内的文件名,是否包含非法字符

2、禁止使用zipEntry.getSize()方法获取zip文件大小

3、校验解压缩出来的文件总数(设置阈值,即使文件小但是数量大依旧可完成zip炸弹)

六、参考链接

JavaWeb解压缩漏洞之ZipSlip与Zip炸弹_zip slip-CSDN博客

docs/zh-cn/contribute/OpenHarmony-Java-secure-coding-guide.md at ce85f3d8e4d055bcaab25548612c17f63de86091 · openharmony/docs · GitHub

代码审计指南 | security

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/695544.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

软件2班20240513

第三次作业 package com.yanyu;import java.sql.*; import java.util.ResourceBundle;public class JDBCTest01 {public static void main(String[] args) {ResourceBundle bundle ResourceBundle.getBundle("com/resources/db");// ctrl alt vString driver …

IP SSL怎么签发使用

IP证书的签发首先是需要有一个可供绑定的IP地址&#xff0c;作为常用数字证书之一&#xff0c;IP证书也因为其广泛的应用范围而深得用户的青睐和喜欢。 部署IP证书后&#xff0c;可以实现该IP地址的https访问&#xff0c;过程和域名证书相差不多。 IP证书和域名证书的区别 很…

ANet系列智能网关,边缘计算,数据采集器

安科瑞电气股份有限公司 祁洁 acrelqj 一、网关功能 智能网关主要功能——终端设备与系统平台间的数据交互桥梁。 1、数据采集 支持串口、以太网&#xff0c;只需配置即可兼容支持标准规约的各类仪表 2、数据上传 支持往上海分类分项能耗平台、宁夏电力需求侧平台、江苏…

Mac开发者的信任之选:CodeSigner,轻松实现代码签名与验证!

CodeSigner for Mac是一款专为Mac平台设计的软件崩溃修复工具。当用户在Mac上遇到应用无法打开或崩溃的问题时&#xff0c;CodeSigner for Mac可以帮助用户通过数字签名的方式解决这些问题。 该软件的主要功能包括&#xff1a; 数字签名&#xff1a;CodeSigner for Mac允许用…

玩具电动车flash语音方案wt588f02b-8 -玩具车语音芯片选型推荐!

随着科技的飞速发展&#xff0c;电动玩具车已不再是我们童年记忆中的简单模样。它们不仅外观酷炫&#xff0c;功能多样&#xff0c;更融入了先进的语音技术&#xff0c;为孩子们带来更加智能化、趣味化的玩具体验。 性能&#xff1a; 语音内容包括儿歌、故事片段等设计得生动…

专业音频修复软件:iZotope RX 11 for Mac 激活版

iZotope RX 专为满足后期制作专业人士的苛刻需求而设计的一款专业音频修复软件。iZotope RX 10添加了新的特性和功能&#xff0c;以解决当今后期项目中存在的一些最常见的修复问题&#xff0c;使其成为音频后期制作的最终选择。虽然包含许多其他新功能&#xff0c;但这里是新的…

RFID智能试剂柜:危险化学品管理新利器。

在科学实验与研究的世界中&#xff0c;危险化学品扮演着不可或缺的角色。然而&#xff0c;化学品在给我们的生活带来巨大便利的同时&#xff0c;一部分危险化学品也对人们的生命安全构成了极大的威胁。 危险化学品安全是安全生产工作的重中之重&#xff0c;在人工智能蓬勃发展的…

海外静态IP购买:全面解析与购买指南

在当今这个信息化、网络化的时代&#xff0c;IP地址成为了网络世界中不可或缺的一部分。随着跨国业务的不断增多&#xff0c;海外静态IP的需求也日益增长。海外静态IP&#xff0c;作为一种稳定、可靠的网络资源&#xff0c;为企业在全球范围内的业务拓展提供了强有力的支持。本…

C#知识|上位机UI设计-详情窗体设计思路及流程(实例)

哈喽,你好啊,我是雷工! 上两节练习记录了登录窗体和主窗体的实现过程,本节继续练习内容窗体的实现,以下为练习笔记。 01 详情窗体效果展示: 02 添加窗体并设置属性 在之前练习项目的基础上添加一个Windows窗体,设置名称为:FrmIPManage.cs 设置窗体的边框和标题栏的外…

【笔记】从零开始做一个男性人体的流程/躯干篇(补充)

1.做手臂和腿部都记着【关键节点】的重要性

【数据结构】堆的基本实现

目录 1、堆的概念和结构2、堆基本功能实现2.1 初始化和销毁2.2 打印2.3 向上调整2.4 插入2.5 向下调整2.6 删除2.7 堆判断是否为空2.8 取堆顶数据2.9 堆的有效数据 3、功能测试4、总结 1、堆的概念和结构 首先说明&#xff1a;这里的堆是数据结构里面的堆&#xff0c;并不是操作…

Centos中将UTC的时区改为CTS时区

date命令可以看到现在的时间以及时区&#xff0c;可以看到现在是UTC时区 而想要更改时区那么就要了解tzselect命令 tzselect 是一个 Linux 命令行工具&#xff0c;用于交互式地帮助用户选择并设置系统的时区。这个程序会通过一系列的问题引导用户&#xff0c;从而确定用户所在的…