5
我正在編寫一個ASP.NET應用程序來處理用戶提交的zip文件,並將我從文件中提取的文件限制爲只有我想要的擴展名。我應該關注受感染的zip文件嗎?
我聽說附加到電子郵件的受感染的zip文件,我想知道我是否應該關心從我的應用程序中的受感染的zip文件中提取數據。我不打算執行壓縮文件內的內容,但是打開並從受感染的壓縮文件中解壓縮會導致文件執行病毒,即使我沒有在壓縮文件中執行任何內容?
A
回答
1
如果有人在解壓縮實現中發現可利用的缺陷,這是可能的......但我從未見過一個。我不會說這是需要擔心的事情。
但是,隔離傳入文件並掃描它們並稍後將它們移出您的應用程序並不困難。您甚至可以執行按需掃描,但這會在繁忙的系統上造成討厭的瓶頸。這一切都取決於您需要掃描上傳文件的速度。
相關問題
- 1. 我應該多關注NullPointerException嗎?
- 2. 我應該關注木偶控制器的關閉嗎?
- 3. 我應該關閉cURL嗎?
- 4. 渲染視圖時我應該使用return關鍵字嗎?
- 5. 我應該關注從VS Pro遷移到VSTS的「陷阱」嗎?
- 6. 我們應該關注JSF託管bean的線程安全嗎?
- 7. 我應該關注Amazon S3上的位翻轉嗎?
- 8. 我應該關閉Go中的日誌文件嗎?
- 9. ZIP文件中的所有文件結構應該是連續的嗎?
- 10. 我應該關注我的React Redux應用中的狀態變化率嗎?
- 11. 受感染的編譯器或故障?
- 12. 我應該繼續註冊失敗嗎?
- 13. 我應該關注這個compareTo/equals/hashCode實現嗎?
- 14. 我應該在移動它之前關閉文件嗎?
- 15. 我應該提交solr文件嗎?
- 16. 我應該備份「eclipse」文件夾嗎?
- 17. 我應該忽略xcodeproject/project.pbxproj文件嗎?
- 18. 我應該提交.gitignore文件嗎?
- 19. 我應該備份「.svn」文件夾嗎?
- 20. 我應該檢查* .mo文件嗎?
- 21. 我應該關注哪個AI分支?
- 22. 如何清理我的受感染的javascript代碼
- 23. 我應該在PyPI的tarball之外準備雞蛋和zip嗎?
- 24. 我應該單元測試我的網格渲染邏輯嗎?
- 25. 我應該依賴注入嗎?我該怎麼做?
- 26. 依賴注入配置應該受版本控制嗎?
- 27. 我應該注入執行算法所需的對象嗎?我應該注入一切嗎?
- 28. Xcode 4工作區文件應該受版本控制嗎?
- 29. bash函數名稱中的感嘆號 - 我應該嗎?
- 30. 應該注入物業嗎?
傳輸數據的格式與用於解釋傳輸數據格式的軟件之間存在差異。如果只有一個可以解壓縮zip文件的軟件,那麼就會有更高的機會被利用,但是對於一個特定的解壓縮程序來說會引入木馬(或類似的)的缺陷不太可能發揮作用與任何其他實現,所以我不會擔心這是一個問題太多。 – 2010-06-12 23:37:27