Wie sollte dieser Leitfaden in Engineering-Workflows genutzt werden?

Nutzen Sie ihn als Implementierungs-Checkliste und ueberfuehren Sie die wichtigsten Kontrollen in automatisierte Tests und Runbooks.

Welches Ergebnis wird nach Anwendung dieses Leitfadens erwartet?

Weniger Validierungsfehler, klarere Fehlersignale und vorhersagbareres Datei-Verhalten.

Engineering guide

Sicherheit bei Archiv-Extraktion

Verhindern Sie Zip-Slip, Zip-Bombs und Parser-Missbrauch in Archiv-Pipelines.

Archiv Sicherheit

Zu kontrollierende Bedrohungen

Die Verarbeitung von Archiven ist risikoreich, weil Extraktion den Speicherplatz explodieren lassen und gefaehrliche Dateisystempfade erzeugen kann. Ohne Schutzmechanismen koennen Angreifer Dateien ueberschreiben oder Ressourcen erschoepfen.

Pfad-Traversal (zip-slip) ueber ../ oder absolute Pfade.
Dekompressions-Bombs: kleines Archiv, riesige expandierte Ausgabe.
Verschachtelte Archiv-Rekursion und Parser-Abstuerze.

Gehaertete Extraktionsrichtlinie

Zielpfade vor jedem Write normalisieren und validieren.
Grenzen pro Datei und fuer die gesamte expandierte Groesse setzen.
Grenzen fuer Rekursionstiefe und Dateianzahl setzen.
Isolierte Temp-Verzeichnisse verwenden und Rechte reduzieren.

Regressionseingaenge fuer Archive

Pflegen Sie explizite boesartige Archiv-Fixtures in privaten Sicherheitstest-Suiten. Jede Haertungsmassnahme sollte je einen positiven und negativen Test haben, damit spaetere Refactors keinen Schutz stillschweigend entfernen.

Empfohlene Werkzeuge

Keep the supporting tools one step away.

MIME-Inspektor

Vergleichen Sie Erweiterung und Signaturen, um Typkonflikte zu erkennen.

Werkzeug oeffnen

Batch-MIME-Klassifizierer

Klassifizieren Sie viele Dateien auf einmal und markieren Sie Mismatch-Risiken.

Werkzeug oeffnen

Checksum-Generator und Verifizierer

Berechnen Sie SHA256-Werte und pruefen Sie die Dateiintegritaet gegen erwartete Hashes.

Werkzeug oeffnen