G110: Potential DoS vulnerability via decompression bomb (gosec)

[CarlJi]

G110: Potential DoS vulnerability via decompression bomb (gosec) 是 Gosec 工具发出的一个安全警告，意思是：你的代码可能容易受到 “解压缩炸弹”（Decompression Bomb）的攻击，进而导致 拒绝服务攻击（DoS, Denial of Service）。这种攻击会耗尽系统资源（如内存或 CPU），导致服务崩溃或无法响应请求。

什么是解压缩炸弹？

解压缩炸弹（Decompression Bomb）是一种恶意构造的压缩文件，通常文件在压缩后体积很小，但解压后的大小却异常巨大。比如，一个只有几 MB 的压缩文件，解压后可能会膨胀到数 GB 甚至 TB。如果你的系统在没有足够资源限制的情况下解压这样的文件，服务器可能会耗尽内存或 CPU，从而导致拒绝服务（DoS）。

例子

假设你有一段代码用于解压缩用户上传的文件：

package main

import (
    "archive/zip"
    "os"
)

func main() {
    r, _ := zip.OpenReader("example.zip")
    defer r.Close()

    for _, f := range r.File {
        rc, _ := f.Open()
        defer rc.Close()
        // 处理文件内容
    }
}

在这个例子中，代码会解压一个 ZIP 文件。如果该 ZIP 文件是恶意构造的解压缩炸弹，解压操作会消耗大量资源，导致系统崩溃或不可用。

为什么 G110 会触发？

Gosec 之所以发出 G110 警告，通常是因为它检测到你的代码中存在解压缩文件（如 ZIP、GZIP、TAR 等）的操作，而这些操作可能没有对解压缩后的文件大小或资源使用进行适当的限制。这样一来，如果用户上传了一个解压缩炸弹，系统可能会被耗尽资源，导致拒绝服务攻击。

如何修复或缓解这个问题？

为了防止解压缩炸弹攻击，你需要在解压缩操作时对文件大小和资源使用进行限制。以下是一些常见的缓解措施：

1. 限制解压缩的文件大小

在解压缩文件时，检查解压缩后的文件大小，防止它超过合理的上限。这里以 ZIP 文件为例，演示如何限制解压缩文件的大小：

package main

import (
    "archive/zip"
    "errors"
    "fmt"
    "io"
    "os"
)

const MaxDecompressedSize = 100 * 1024 * 1024 // 100MB

func main() {
    r, err := zip.OpenReader("example.zip")
    if err != nil {
        fmt.Println(err)
        return
    }
    defer r.Close()

    var totalSize int64 = 0

    for _, f := range r.File {
        // 检查文件大小，避免解压缩炸弹
        if totalSize+int64(f.UncompressedSize64) > MaxDecompressedSize {
            fmt.Println("Decompression bomb detected: file too large")
            return
        }

        totalSize += int64(f.UncompressedSize64)

        rc, err := f.Open()
        if err != nil {
            fmt.Println(err)
            return
        }
        defer rc.Close()

        // 处理文件内容
        _, err = io.CopyN(io.Discard, rc, int64(f.UncompressedSize64))
        if err != nil && !errors.Is(err, io.EOF) {
            fmt.Println(err)
            return
        }
    }

    fmt.Println("File decompressed successfully")
}

在这个例子中，我们设置了 MaxDecompressedSize 为 100MB，任何解压缩后的文件大小超过这个值的都会被拒绝，从而防止解压缩炸弹攻击。

2. 限制单个文件的大小

你可以检查压缩文件中每个文件的大小，并拒绝解压缩那些文件非常巨大的压缩包：

const MaxFileSize = 50 * 1024 * 1024 // 单个文件最大50MB

for _, f := range r.File {
    if f.UncompressedSize64 > MaxFileSize {
        fmt.Println("File too large, possible decompression bomb")
        return
    }
    // 继续处理...
}

3. 限制资源使用

你可以通过操作系统或容器环境限制程序的内存和 CPU 使用。例如，在 Docker 或 Kubernetes 中，你可以为你的应用程序设置内存和 CPU 限制，以防止恶意用户通过解压缩炸弹耗尽服务器资源。

4. 对输入进行验证

在解压缩文件之前，你可以对上传的文件进行一些初步检查，比如检查文件是否符合预期的格式，或使用检查工具来识别潜在的解压缩炸弹。

5. 使用外部库

一些第三方库会提供额外的安全检查来防止解压缩炸弹攻击。你可以使用这些库中的高级功能来限制解压缩时的资源使用。例如，使用 compress/flate 等库时，可以设置缓冲区大小来限制解压缩的内存使用。

总结

G110: Potential DoS vulnerability via decompression bomb 是 Gosec 提醒你，你的代码可能容易受到通过解压缩炸弹进行的拒绝服务攻击。为了避免这种攻击，建议你：

1. 限制解压缩文件的总大小。
2. 限制单个文件的大小。
3. 使用资源限制（如内存、CPU）来防止系统资源被耗尽。
4. 在解压缩前对输入文件进行验证。

通过这些措施，可以显著降低解压缩炸弹攻击的风险，确保系统的稳定性和安全性。