来自https://snyk.io/research/zip-slip-vulnerability
此zip文件的内容必须手工制作.尽管zip规范允许,存档创建工具通常不允许用户添加具有这些路径的文件.但是,使用正确的工具,可以轻松地使用这些路径创建文件.
我想创建一个测试有效负载,以便我可以检查一些我的zip处理逻辑.但我找不到如何创建一个的任何线索.
:~/Desktop # touch "../../../../../../../../tmp/evil.sh"
:~/Desktop # ll
:~/Desktop # ll /tmp/evil.sh
-rw-r--r-- 1 root root 0 Jun 14 09:27 /tmp/evil.sh
小智 8
也许
zip zipslip.zip ../../../../../../../../tmp/evil.sh