feat(security): prevent zip bomb attack in uploader - Githubissues

blocklet / media-kit

Simple image upload and sharing blocklet

Other

4 stars 0 forks source link

feat(security): prevent zip bomb attack in uploader #285

Closed FireTable closed 3 months ago

FireTable commented 3 months ago

关联 Issue

主要改动

调整 uploader 安全等级，使其防御 zip 炸弹攻击
- 规则：解压后压缩文件大于 100 倍数 or 递归压缩包级别 >= 5 or 如果无法正常解压（比如加密压缩包，那么视为正常，因为无法通过程序检测）

界面截图

// 递归型 zip bomb QQ_1725395253754

// 平级 zip bomb QQ_1725395308902

// 正常上传 QQ_1725395342322

测试计划

[x] 递归型 zip bomb
[x] 平级 zip bomb
[x] 不影响其他正常文件上传

检查清单

[x] 本次变更的兼容性测试覆盖了 Chrome
[x] 本次变更增加了依赖
[x] 本次变更我已经把依赖升级到了最新：taze -w -r && pnpm i