Re: нетривиальная обработка POST во встроенном перле
Valery Kholodkov
valery+nginxru на grid.net.ru
Пн Фев 15 13:14:32 MSK 2010
----- Daniel Podolsky <onokonem at gmail.com> wrote:
> > а не получится ли повтор уязвимости фидошнога хаба? на хаб заливали
> > небольшой zip-файл, который содержал огромный файл после распаковки
> Самой прекрасной шуткой был zip, дающий после распаковки идентичный
> zip, и не один. Тоссер же просто распаковывал все архивы, лежащие в
> соответствующей директории, пока таковые находились.
>
> А в моем случае - можно будет получить листинг архива, и проверить имя
> файла и размер на валидность.
>
> Можно ли сделать zip, который при распаковке даст файл большего
> размера, чем рапортует листинг - я не знаю. Согласен - этот вопрос
> надо бы изучить...
Можно.
Можно сделать архив, в котором размер файла не указан, по той причине, что он получен со стандартного ввода.
Сломать таким образом можно и систему, распаковывающую архивы в пакетном режиме. Однако система, распаковывающая архивы в процессе полученая не создает излишней нагрузки в тот момент, когда архив полностью получен, и таким образом более масштабируемая.
--
Regards,
Valery Kholodkov
Подробная информация о списке рассылки nginx-ru