uni-app 云打包发布到应用商城反馈安全问题 unzip解压路径穿越

uni-app 云打包发布到应用商城反馈安全问题 unzip解压路径穿越

操作步骤：

• 特约机发布APP提示有风险，无法上线

预期结果：

• 不知道unzip使用中有没有安全机制？

实际结果：

• 目前来看很难找到对应的安全问题，也不知道该怎么解决，项目就要上线了，急急急!!!

bug描述：

云打包发布的时候被驳回，说有安全漏洞，跟读取文件路径有关。项目着急上线，麻烦官方速回复，谢谢了！！！

反馈的问题如下：

• unzip解压路径穿越:中危
  • 扫描内容：对文件进行zip解压时，是否路径可被控制，用来读取任意文件
  • 漏洞危害：进行zip解压时，若包名或包中文件名可以被控制，则攻击者可以将文件名设置为"…/"的形式，控制最终读取或覆盖的文件，从而让业务加载恶意代码。

安全方案：

1. 使用安全提供的统一过滤方法：

   private static boolean isSafeEntryName(String path) {
       if (!path.contains(FILE_PATH_ENTRY_BACK) && !path.contains(FILE_PATH_ENTRY_SEPARATOR2)) {
           return true;
       }
       return false;
   }
   public static final String FILE_PATH_ENTRY_BACK = "..";
   public static final String FILE_PATH_ENTRY_SEPARATOR1 = "\";
   public static final String FILE_PATH_ENTRY_SEPARATOR2 = "%";
   

2. 对ZipEntry.getName/ZipFile.getName等获得的文件名，进行路径检查及"…/"的过滤

unzip是干嘛用的，有相关安全机制吗？