- 42kbのファイルを展開すると最終的に4.5pbになる
- zipが5重にネストして、4gbのファイルが沢山ある状態らしい
- これをアンチウィルスソフトが走査すると(アンチウィルスソフトの実装次第だろうけど)メモリが溢れるなどでアンチウィルスソフトが死ぬ
- ネストしないで済む方法もある
- zipやdeflateの圧縮アルゴリズム、具体的に動やっているのかよくわからんので勉強したくなってきた
- 久しぶりに読んだら追記が結構あった
- paramsにアクセスしてしまうとtempfileができてしまうので、その前にcontent-lengthを見て大きすぎたら413(Request Entity Too Large)を出す、という話はなるほどとなった
- ダイレクトアップロード後にできるメタデータ部分を改ざんしてサーバに送るという攻撃方法もなるほど感ある
- jpeg pixel floodしらなかった
- 小さいjpegファイルのメタデータ部分を書き換えて大きいピクセル扱いにさせる方法
