Un archivio compresso può essere costruito in un modo da estrarre nelle cartelle di sistema?

0

Utilizzando le utilità di compressione, è possibile creare un archivio che, una volta estratto, posizionerà determinati file in determinate aree del PC degli utenti?

Ad esempio, supponiamo che se ho scritto un virus o uno script dannoso, lo memorizziamo in una cartella con altri file e lo zip in questa cartella. Quando l'utente estrae i file nel percorso fornito, non è a conoscenza del fatto che il virus o lo script dannoso venga copiato in una cartella di sistema o da qualche parte nell'unità C: .

In altre parole, è possibile ingannare le utilità di compressione per estrarre i file in una posizione non specificata dall'utente?

Come ridurrai al minimo il danno che può essere fatto?

Sono ben lungi dall'essere un esperto, ma sembrerebbe ragionevole non estrarre nulla con un account di livello Amministratore.

    
posta 05.12.2018 - 18:14
fonte

1 risposta

1

is it possible to trick compression utilities to extract files to a location not specified by the user?

Sì, è possibile. Ed è un problema noto con un nome accattivante: Zip Slip . Dipende dalla particolare implementazione della tua utility di estrazione: come la routine di estrazione analizza il nome del file di destinazione.

Se la tua utilità di decompressione è obsoleta, puoi essere influenzata. Su Windows, se estrai i file su D: anziché C: non dovresti esserne influenzato.

    
risposta data 05.12.2018 - 18:24
fonte

Leggi altre domande sui tag