Kann eine ZIP-Datei ausführbar sein? Kann man beispielsweise einen Virus in Form einer ZIP-Datei haben? Natürlich kann sich in einer ZIP-Datei ein Virus befinden, aber kann die ZIP-Datei selbst ausgeführt werden?
Der Grund für meine Frage ist, dass ich eine Website habe, die derzeit nur die Dateierweiterungen JPG, JPEG, PNG und GIF zulässt. Und ich hatte heute die Idee, den Leuten das Hochladen von Symbolpaketen zu ermöglichen. Die Symbolpakete müssten allerdings im ZIP-Format vorliegen, weil es so viele Bilder geben würde.
Ich möchte nicht, dass meine Site mit Viren infiziert wird.
Antwort1
Theoretisch können einige Tools zum Dekomprimieren von Zip-Dateien Schwachstellen aufweisen, die zur Ausführung von Code führen können. Es ist jedoch sehr unwahrscheinlich, dass dies bei Ihnen der Fall ist. Dekomprimierungstools für Ihre Programmiersprache weisen solche Schwachstellen wahrscheinlich nicht auf, und wenn auf dem Webserver ein UNIX-ähnliches Betriebssystem (z. B. Linux) läuft, werden Windows-Viren sowieso nicht ausgeführt.
Sie sollten jedoch auch beim Extrahieren von Dateien aus einem Zip-Archiv jeden Dateipfad überprüfen, da es sich um einen absoluten Pfad oder eine Datei mit ..(zwei Punkten)-Komponenten handeln kann, wenn die Dekomprimierungsbibliothek dies nicht standardmäßig überprüft (z. B. Pythonszip-DateiModul wurde erst mit der Veröffentlichung von Python 2.7.4 bereitgestellt). Andernfalls können die Dateien an einen anderen Speicherort auf Ihrer Festplatte extrahiert werden.
Antwort2
Beim Entpacken einer Zip-Datei kann es zu Problemen kommen: