Cómo protegerte de ataques con exploits basados en archivos ZIP
En este artículo, te guiaremos a través de dos de las vulnerabilidades más explotadas que involucran archivos Zip. Te explicamos de dónde provienen estas vulnerabilidades y cómo pueden vulnerar los sistemas. Después de eso, discutiremos cómo los desarrolladores pueden mitigar estos vectores de ataque para proteger sus aplicaciones web. Y, por lo tanto, la información confidencial y privada.
El primer archivo Zip fue utilizado en 1989, hace 31 años, por PKWARE., una empresa de software ubicada en Estados Unidos. El formato Zip fue rápidamente aceptado por los dos gigantes, Apple y Microsoft, en sus respectivos sistemas operativos. Desde entonces, este formato de archivo ganó una enorme popularidad en las comunidades de programación y más allá. Hasta hoy, en entornos burocráticos o domésticos, las personas envían varios archivos por correo electrónico utilizando archivos Zip.
Pero, ¿qué es realmente un archivo Zip?
Los archivos zip son archivos de compresión de datos. Los archivos de compresión de datos se utilizaron inicialmente para almacenar metadatos y archivos concatenados. Por lo tanto, si solías tener 7 libros de Harry Potter en formato pdf y deseabas almacenarlos en tu sistema, podría ponerlos en un solo “directorio”. No obstante, los geeks comprimirán este directorio para ocupar menos espacio. Posteriormente se implementaron funcionalidades adicionales. Hoy en día, los archivos son de 5 tipos:
- Los formatos de solo archivar solo concatenan archivos
- Los formatos de solo compresión solo comprimen archivos.
- Asimismo, Los formatos multifunción pueden almacenar metadatos, concatenar, comprimir y cifrar. También pueden crear información de recuperación y detección de errores, y empaquetar el archivo en archivos autoextraíbles y autoexpandibles.
- Los formatos de empaquetado de software se utilizan para crear paquetes de software que pueden ser archivos autoinstalables.
- Los formatos de imagen de disco se utilizan para crear imágenes de disco de volúmenes de almacenamiento masivo.
Las extensiones de archivo más populares son: zip, rar, 7z y tar.
Algunos desarrolladores utilizan el formato de archivo Zip en sus aplicaciones web para permitir que los usuarios carguen sus archivos en el sistema. Veamos por qué esto puede ser una muy mala idea.