Таким образом, существует два способа атаковать некоторый сервер, который принимает почтовые индексы.
Скользящие молнии (с обходом пути), так что вы сохраняете вещи вне почтового индекса
Вы загружаете невероятно маленькую бомбу-молнию, но огромную при распаковке https://en.wikipedia.org/wiki/Zip_bomb
Итак, во-первых, можно избежать простых проверок. https://snyk.io/research/zip-slip-vulnerability#java
Но как мне избежать столкновения со вторым?
Подсчитать байт, который я написал во время распаковки, и, если их больше, X байтов отменяются?