Zip-файл может быть исполняемым файлом?
Может исполняемый файл zip-файла? Например, можете Вы иметь вирус в форме zip. Очевидно, вирус мог быть в zip-файле, но фактическая zip может выполниться?
Причина, которую я спрашиваю, у меня есть веб-сайт, который в настоящее время позволяет только jpg, jpeg, png и gif расширения файла, и у меня была идея сегодня, чтобы позволить людям загружать пакеты значка, но пакеты значка должны будут быть в форме zip, потому что было бы столько изображений.
Мне не нужен мой сайт, зараженный вирусами.
2 ответа
Теоретически, некоторые инструменты для распаковки zip-файлов могут иметь уязвимости, которые могут привести к некоторому выполнению кода. Однако действительно маловероятно, что это - Ваш случай. Распаковывающие инструменты для Вашего языка программирования, вероятно, не имеют таких уязвимостей, и если веб-сервер выполняет UNIX как операционная система (например, Linux), вирусы Windows не будут выполняемыми так или иначе.
Но необходимо также проверить каждый путь к файлу при извлечении файлов из архива zip, поскольку это может быть полный путь или файл с .. (две точки), компоненты, если библиотека распаковки не проверяет это по умолчанию (например, zipfile модуль Python был только в Python 2.7.4, был выпущен). Иначе файлы могут быть извлечены к другому местоположению на Вашем диске.