Zip Path Traversal
จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน
บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ
หมวดหมู่ OWASP: MASVS-STORAGE: Storage
ภาพรวม
ช่องโหว่ Zip Path Traversal หรือที่เรียกว่า ZipSlip เกี่ยวข้องกับการจัดการไฟล์เก็บถาวรที่บีบอัด ในหน้านี้ เราจะสาธิตช่องโหว่นี้โดยใช้รูปแบบ ZIP เป็นตัวอย่าง แต่ปัญหาที่คล้ายกันอาจเกิดขึ้นในไลบรารีที่จัดการรูปแบบอื่นๆ เช่น TAR, RAR หรือ 7z
สาเหตุพื้นฐานของปัญหานี้คือภายในไฟล์ ZIP ที่เก็บถาวร ระบบจะจัดเก็บไฟล์ที่แพ็กแต่ละไฟล์พร้อมชื่อที่สมบูรณ์ ซึ่งอนุญาตให้ใช้สัญลักษณ์พิเศษ เช่น เครื่องหมายทับและจุด ไลบรารีเริ่มต้นจากแพ็กเกจ java.util.zip
ไม่ได้ตรวจสอบชื่อของรายการที่เก็บถาวรสำหรับอักขระการข้ามไดเรกทอรี (../
) ดังนั้นจึงต้องใช้ความระมัดระวังเป็นพิเศษเมื่อต่อชื่อที่ดึงมาจากที่เก็บถาวรกับเส้นทางไดเรกทอรีเป้าหมาย
การตรวจสอบข้อมูลโค้ดหรือไลบรารีการแยก ZIP จากแหล่งที่มาภายนอกเป็นสิ่งสำคัญอย่างยิ่ง ไลบรารีจำนวนมากดังกล่าวมีช่องโหว่ที่ทำให้เกิดการข้ามเส้นทางของไฟล์ ZIP
ผลกระทบ
ช่องโหว่ Zip Path Traversal สามารถใช้เพื่อเขียนทับไฟล์ที่กำหนดเองได้ ผลกระทบอาจแตกต่างกันไปตามเงื่อนไข แต่ในหลายกรณี ช่องโหว่นี้อาจนำไปสู่ปัญหาด้านความปลอดภัยที่สำคัญ เช่น การเรียกใช้โค้ด
การลดปัญหา
หากต้องการลดปัญหานี้ คุณควรตรวจสอบเสมอว่าเส้นทางเป้าหมายเป็นโฟลเดอร์ย่อยของไดเรกทอรีปลายทางก่อนที่จะแตกไฟล์แต่ละรายการ โค้ดด้านล่างนี้ถือว่าไดเรกทอรีปลายทางปลอดภัย ซึ่งแอปของคุณเขียนได้เท่านั้นและไม่ได้อยู่ภายใต้การควบคุมของผู้โจมตี ไม่เช่นนั้นแอปของคุณอาจเสี่ยงต่อช่องโหว่อื่นๆ เช่น การโจมตีด้วย Symlink
Kotlin
companion object {
@Throws(IOException::class)
fun newFile(targetPath: File, zipEntry: ZipEntry): File {
val name: String = zipEntry.name
val f = File(targetPath, name)
val canonicalPath = f.canonicalPath
if (!canonicalPath.startsWith(
targetPath.canonicalPath + File.separator)) {
throw ZipException("Illegal name: $name")
}
return f
}
}
Java
public static File newFile(File targetPath, ZipEntry zipEntry) throws IOException {
String name = zipEntry.getName();
File f = new File(targetPath, name);
String canonicalPath = f.getCanonicalPath();
if (!canonicalPath.startsWith(targetPath.getCanonicalPath() + File.separator)) {
throw new ZipException("Illegal name: " + name);
}
return f;
}
นอกจากนี้ คุณควรตรวจสอบว่าไดเรกทอรีปลายทางว่างเปล่าก่อนเริ่มกระบวนการแยกเพื่อหลีกเลี่ยงการเขียนทับไฟล์ที่มีอยู่โดยไม่ตั้งใจ มิฉะนั้น คุณอาจเสี่ยงต่อการเกิดข้อขัดข้องของแอป หรือในกรณีที่ร้ายแรงที่สุด แอปพลิเคชันอาจถูกบุกรุก
Kotlin
@Throws(IOException::class)
fun unzip(inputStream: InputStream?, destinationDir: File) {
if (!destinationDir.isDirectory) {
throw IOException("Destination is not a directory.")
}
val files = destinationDir.list()
if (files != null && files.isNotEmpty()) {
throw IOException("Destination directory is not empty.")
}
ZipInputStream(inputStream).use { zipInputStream ->
var zipEntry: ZipEntry
while (zipInputStream.nextEntry.also { zipEntry = it } != null) {
val targetFile = File(destinationDir, zipEntry.name)
// ...
}
}
}
Java
void unzip(final InputStream inputStream, File destinationDir)
throws IOException {
if(!destinationDir.isDirectory()) {
throw IOException("Destination is not a directory.");
}
String[] files = destinationDir.list();
if(files != null && files.length != 0) {
throw IOException("Destination directory is not empty.");
}
try (ZipInputStream zipInputStream = new ZipInputStream(inputStream)) {
ZipEntry zipEntry;
while ((zipEntry = zipInputStream.getNextEntry()) != null) {
final File targetFile = new File(destinationDir, zipEntry);
…
}
}
}
แหล่งข้อมูล
แนะนำสำหรับคุณ
ตัวอย่างเนื้อหาและโค้ดในหน้าเว็บนี้ขึ้นอยู่กับใบอนุญาตที่อธิบายไว้ในใบอนุญาตการใช้เนื้อหา Java และ OpenJDK เป็นเครื่องหมายการค้าหรือเครื่องหมายการค้าจดทะเบียนของ Oracle และ/หรือบริษัทในเครือ
อัปเดตล่าสุด 2025-07-27 UTC
[[["เข้าใจง่าย","easyToUnderstand","thumb-up"],["แก้ปัญหาของฉันได้","solvedMyProblem","thumb-up"],["อื่นๆ","otherUp","thumb-up"]],[["ไม่มีข้อมูลที่ฉันต้องการ","missingTheInformationINeed","thumb-down"],["ซับซ้อนเกินไป/มีหลายขั้นตอนมากเกินไป","tooComplicatedTooManySteps","thumb-down"],["ล้าสมัย","outOfDate","thumb-down"],["ปัญหาเกี่ยวกับการแปล","translationIssue","thumb-down"],["ตัวอย่าง/ปัญหาเกี่ยวกับโค้ด","samplesCodeIssue","thumb-down"],["อื่นๆ","otherDown","thumb-down"]],["อัปเดตล่าสุด 2025-07-27 UTC"],[],[],null,["# Zip Path Traversal\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-STORAGE: Storage](https://mas.owasp.org/MASVS/05-MASVS-STORAGE)\n\nOverview\n--------\n\nThe Zip Path Traversal vulnerability, also known as ZipSlip, is related to handling compressed archives. On this page, we demonstrate this vulnerability using the ZIP format as an example, but similar problems can arise in libraries handling other formats, like TAR, RAR, or 7z.\n\nThe underlying reason for this problem is that inside ZIP archives, each packed file is stored with a fully qualified name, which allows special characters such as slashes and dots. The default library from the `java.util.zip` package doesn't check the names of the archive entries for directory traversal characters (`../`), so special care must be taken when concatenating the name extracted from the archive with the targeted directory path.\n\nIt's very important to validate any ZIP-extracting code snippets or libraries from external sources. **Many such libraries are vulnerable to Zip Path Traversals.**\n\nImpact\n------\n\nThe Zip Path Traversal vulnerability can be used to achieve arbitrary file overwrite. Depending on conditions, the impact might vary, but in many cases this vulnerability can lead to major security issues such as code execution.\n\nMitigations\n-----------\n\nTo mitigate this issue, before extracting each entry, you should always verify that the target path is a child of the destination directory. The code below assumes that the destination directory is safe -- writable by your app only and not under attacker control -- otherwise your app could be prone to other vulnerabilities such as symlink attacks. \n\n### Kotlin\n\n companion object {\n @Throws(IOException::class)\n fun newFile(targetPath: File, zipEntry: ZipEntry): File {\n val name: String = zipEntry.name\n val f = File(targetPath, name)\n val canonicalPath = f.canonicalPath\n if (!canonicalPath.startsWith(\n targetPath.canonicalPath + File.separator)) {\n throw ZipException(\"Illegal name: $name\")\n }\n return f\n }\n }\n\n### Java\n\n public static File newFile(File targetPath, ZipEntry zipEntry) throws IOException {\n String name = zipEntry.getName();\n File f = new File(targetPath, name);\n String canonicalPath = f.getCanonicalPath();\n if (!canonicalPath.startsWith(targetPath.getCanonicalPath() + File.separator)) {\n throw new ZipException(\"Illegal name: \" + name);\n }\n return f;\n }\n\nTo avoid accidentally overwriting existing files, you should also make sure that the destination directory is empty before starting the extraction process. Otherwise you risk potential app crashes, or in extreme cases, an application compromise. \n\n### Kotlin\n\n @Throws(IOException::class)\n fun unzip(inputStream: InputStream?, destinationDir: File) {\n if (!destinationDir.isDirectory) {\n throw IOException(\"Destination is not a directory.\")\n }\n val files = destinationDir.list()\n if (files != null && files.isNotEmpty()) {\n throw IOException(\"Destination directory is not empty.\")\n }\n ZipInputStream(inputStream).use { zipInputStream -\u003e\n var zipEntry: ZipEntry\n while (zipInputStream.nextEntry.also { zipEntry = it } != null) {\n val targetFile = File(destinationDir, zipEntry.name)\n // ...\n }\n }\n }\n\n### Java\n\n void unzip(final InputStream inputStream, File destinationDir)\n throws IOException {\n if(!destinationDir.isDirectory()) { \n throw IOException(\"Destination is not a directory.\");\n }\n\n String[] files = destinationDir.list();\n if(files != null && files.length != 0) { \n throw IOException(\"Destination directory is not empty.\");\n }\n\n try (ZipInputStream zipInputStream = new ZipInputStream(inputStream)) {\n ZipEntry zipEntry;\n while ((zipEntry = zipInputStream.getNextEntry()) != null) {\n final File targetFile = new File(destinationDir, zipEntry);\n ...\n }\n }\n }\n\nResources\n---------\n\n- [Zip Slip Vulnerability](https://snyk.io/research/zip-slip-vulnerability)\n\nRecommended for you\n-------------------\n\n- Note: link text is displayed when JavaScript is off\n- [Path traversal](/topic/security/risks/path-traversal)"]]