home *** CD-ROM | disk | FTP | other *** search
/ ftp.wwiv.com / ftp.wwiv.com.zip / ftp.wwiv.com / pub / UTILITY / UNZIP.ARJ / README next >
Text File  |  1991-02-10  |  1KB  |  41 lines
  1. ok, there have been some troubles recently with people uploading files
  2. containing "pkunzip.exe", "..\dsz.com", and stuff like that.  So, I
  3. wrote this "front-end" to pkunzip to fix up security holes in both WWIV
  4. and pkunzip.
  5.  
  6. The problems occur when the bbs (and pkunzip) allow users to extract
  7. files that they shouldn't.  This prevents the user from extracting
  8. anything from a .ZIP file which contains "questionable" files.  A
  9. questionable file is one that contains a filename with ANY of the
  10. following strings in it:
  11.  
  12.   "PKZIP",
  13.   "PKUNZIP",
  14.   "COMMAND",
  15.   "DSZ",
  16.   "UNZIP",
  17.   "\\",
  18.   "/",
  19.   ":",
  20.   ">",
  21.   "<",
  22.   "|",
  23.   "..",
  24.  
  25. (All filenames are converted to uppercase before comparisons.)
  26.  
  27. You'll see in the source code that this stuff is in a nice list, so if
  28. you encounter anything else you want to filter out, all you have to do
  29. is add it to the list.  You'll notice that since the files in here are
  30. called "unzip", and "unzip" is in the list, that nobody can temp-extract
  31. from this .zip file.  Such is life.
  32.  
  33. To set this up, put "unzip.exe" in your main BBS dir, or anywhere in
  34. your path.  Then, in INIT, in the archive section for ".ZIP", change the
  35. extract command to "unzip %1 %2".
  36.  
  37. You do not have to put the full pathname of unzip in init, and the unzip
  38. program does not need the full pathname of pkunzip in it (although feel
  39. free to put them in if you want), because unzip will not ever allow a
  40. user to extract unzip or pkunzip in any case.
  41.