Go で堅牢かつ安全な zip ファイル抽出を実装し、ファイル記述子の漏洩や ZipSlip の脆弱性などの潜在的な問題に対処するにはどうすればよいですか?

Patricia Arquette
リリース: 2024-11-13 06:46:02
オリジナル
495 人が閲覧しました

How can I implement robust and secure zip file extraction in Go, addressing potential issues like file descriptor leaks and ZipSlip vulnerabilities?

Go による簡単な ZIP ファイルの抽出

zip パッケージを使用すると、Go でのファイルの解凍が簡単になります。その機能を利用すると、圧縮されたアーカイブの内容を簡単に抽出できます。

元のコード:

func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer r.Close()

    for _, f := range r.File {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer rc.Close()

        path := filepath.Join(dest, f.Name)
        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            f, err := os.OpenFile(
                path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer f.Close()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
    }

    return nil
}
ログイン後にコピー

拡張コード:

コードをさらに改善し、ファイル記述子の問題を回避するには、次の点を考慮してください。機能強化:

  1. 宛先ディレクトリ (dest) が存在しない場合は作成します (os.MkdirAll)。
  2. ファイルの抽出と書き込みをクロージャにカプセル化し、 defer のスタックを排除します。 Close() 呼び出し。
  3. Close() にエラー処理を追加
  4. ZipSlip (ディレクトリ トラバーサル) 脆弱性のチェックを実装します。
func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer func() {
        if err := r.Close(); err != nil {
            panic(err)
        }
    }()

    os.MkdirAll(dest, 0755)

    extractAndWriteFile := func(f *zip.File) error {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer func() {
            if err := rc.Close(); err != nil {
                panic(err)
            }
        }()

        path := filepath.Join(dest, f.Name)

        if !strings.HasPrefix(path, filepath.Clean(dest) + string(os.PathSeparator)) {
            return fmt.Errorf("illegal file path: %s", path)
        }

        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            os.MkdirAll(filepath.Dir(path), f.Mode())
            f, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer func() {
                if err := f.Close(); err != nil {
                    panic(err)
                }
            }()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
        return nil
    }

    for _, f := range r.File {
        err := extractAndWriteFile(f)
        if err != nil {
            return err
        }
    }

    return nil
}
ログイン後にコピー

これらの機能強化により、Go でファイルを効率的かつ安全に解凍できるようになりました。

以上がGo で堅牢かつ安全な zip ファイル抽出を実装し、ファイル記述子の漏洩や ZipSlip の脆弱性などの潜在的な問題に対処するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート