Nhờ các anh em chuyên bảo mật giúp mình câu này với ạ. Mình từng nghe nói có 1 lỗ hổng bảo mật liên quan đến quá trình giải nén tập tin trên server, có thể là trong quá trình giải nén tập tin sẽ xảy ra sự kiện gì đó để trigger được file ví dụ sh vừa được giải nén chẳng hạn. Cái này có thể xảy ra không nhỉ? Và nếu nó có thể xảy ra thì liệu giới hạn quyền “run” cho folder chứa file zip đó liệu có giải quyết được triệt để vấn đề không nhỉ?
Có cái Zip Slip Vulnerability này anh xem có liên quan không ạ?
https://snyk.io/research/zip-slip-vulnerability#java
ý anh có phải dezip file thì server sẽ gọi 1 file .sh trong server, khiến server bị hack đúng không
Đúng vậy em ạ.