Comment utiliser ce guide dans un workflow d'ingenierie ?

Utilisez-le comme checklist d'implementation, puis transformez les controles cles en tests automatises et en runbooks.

Quel resultat attendre apres application de ce guide ?

Moins de defauts de validation, des diagnostics plus clairs et un comportement de traitement des fichiers plus previsible.

Securite de l'extraction d'archives

Evitez les zip-slip, les bombes de decompression et les abus de parseur dans les pipelines de traitement d'archives.

Archive Securite

Menaces a controler

Le traitement des archives est a haut risque parce que l'extraction peut faire exploser l'usage disque et produire des chemins de filesystem dangereux. Sans garde-fous, un attaquant peut ecraser des fichiers ou epuiser les ressources.

Traversals de chemin (zip-slip) avec ../ ou chemins absolus.
Bombes de decompression : archive minuscule, sortie enorme.
Recursion d'archives imbriquees et crashs de parseur.

Politique d'extraction durcie

Normaliser et valider les chemins cibles avant toute ecriture.
Fixer des limites par fichier et sur la taille totale decompressee.
Fixer des limites de profondeur de recursion et de nombre de fichiers.
Utiliser des repertoires temporaires isoles et retirer les privileges.

Entrees de regression pour archives

Maintenez des archives malveillantes explicites dans des suites de tests de securite privees. Chaque controle de durcissement doit avoir un test positif et negatif dedie afin qu'un refactor ne puisse pas le supprimer silencieusement.

Outils recommandes

Inspecteur MIME

Comparez extension et signatures pour detecter les incoherences de type.

Ouvrir l'outil

Classificateur MIME par lot

Classez de nombreux fichiers a la fois et remontez les risques d'incoherence.

Ouvrir l'outil

Generateur et verificateur de checksum

Calculez des SHA256 et verifiez l'integrite d'un fichier a partir des hashes attendus.

Ouvrir l'outil