安全测试之程序解压缩时的路径遍历漏洞

安全测试之程序解压缩时的路径遍历漏洞

程序解压各种类型的压缩包时可能存在路径遍历漏洞,攻击者提供包含‘..\..\xxx’路径的恶意文件,在解压期间可能覆盖已有的数据。

危害:该漏洞可能会导致非法创建文件,非法删除覆盖文件等操作。

预防:校验压缩包的签名/MD5,或检查压缩文件的原始名称中是否含有特定字符,Linux平台对应‘../’。

6san.com

发表评论