java审计-文件上传

介绍

enctype属性值

  • application/x-www-form-urlencoded:默认编码方式,只处理表单中的value属性值,这种编码方式会将表单中的值处理成URL编码方式
  • multipart/form-data:以二进制流的方式处理表单数据,会把文件内容也封装到请求参数中,不会对字符编码
  • text/plain:把空格转换为+ ,当表单action属性为mailto:URL形式时比较方便,适用于直接通过表单发送邮件方式

任何上传

// uplaod any file
@GetMapping("/any")
public String index() {
    return "upload"; // return upload.html page
}
@PostMapping("/upload")
public String singleFileUpload(@RequestParam("file") MultipartFile file,
                               RedirectAttributes redirectAttributes) {
    if (file.isEmpty()) {
        // 赋值给uploadStatus.html里的动态参数message
        redirectAttributes.addFlashAttribute("message", "Please select a file to upload");
        return "redirect:/file/status";
    }

    try {
        // Get the file and save it somewhere
        byte[] bytes = file.getBytes();
        Path path = Paths.get(UPLOADED_FOLDER + file.getOriginalFilename());
        Files.write(path, bytes);

        redirectAttributes.addFlashAttribute("message",
                "You successfully uploaded '" + UPLOADED_FOLDER + file.getOriginalFilename() + "'");

    } catch (IOException e) {
        redirectAttributes.addFlashAttribute("message", "upload failed");
        logger.error(e.toString());
    }

    return "redirect:/file/status";
}

123
在这里插入图片描述

修复

后缀名过滤

// 判断文件后缀名是否在白名单内
String[] picSuffixList = {".jpg", ".png", ".jpeg", ".gif", ".bmp", ".ico"};
boolean suffixFlag = false;
for (String white_suffix : picSuffixList) {
	if (Suffix.toLowerCase().equals(white_suffix)) {
		suffixFlag = true;
		break;
	}
}

MIME过滤

  • 对MIME类型进行了黑名单限制,不过这个可以进行抓包修改绕过
// 判断MIME类型是否在黑名单内
String[] mimeTypeBlackList = {
		"text/html",
		"text/javascript",
		"application/javascript",
		"application/ecmascript",
		"text/xml",
		"application/xml"
};
for (String blackMimeType : mimeTypeBlackList) {
	// 用contains是为了防止text/html;charset=UTF-8绕过
	if (SecurityUtil.replaceSpecialStr(mimeType).toLowerCase().contains(blackMimeType)) {
		logger.error("[-] Mime type error: " + mimeType);
		//deleteFile(filePath);
		return "Upload failed. Illeagl picture.";
	}
}

路径穿越过滤

  • 文件保存的时候路径是通过 来获取,Path path =excelFile.toPath();就避免了路径穿越的实现
File excelFile = convert(multifile);//文件名字做了uuid处理
String filePath = excelFile.getPath();
// 判断文件内容是否是图片 校验3
boolean isImageFlag = isImage(excelFile);
if (!isImageFlag) {
	logger.error("[-] File is not Image");
	deleteFile(filePath);
	return "Upload failed. Illeagl picture.";
}

对上传的文件过滤

  • 判断上传的文件是否为图片,通过ImageIO.read对文件进行读取来判断
private static boolean isImage(File file) throws
IOException {
BufferedImage bi = ImageIO.read(file);
return bi != null;
}

任意文件读取/下载

@WebServlet("/FileRead")
public class FileRead extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //以当前get请求的路径+filename参数值作为File对象
        File file = new File(this.getServletContext().getRealPath("/") + req.getParameter("filename"));
        FileInputStream in = new FileInputStream(file);
        ServletOutputStream sos = resp.getOutputStream();
        int len;
        byte[] buffer = new byte[1024];

        while ((len = in.read(buffer)) != -1) {
            sos.write(buffer, 0, len);
        }
        in.close();
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        super.doGet(req, resp);
    }
}

在这里插入图片描述

### Java 文件上传安全审计检查要点 #### 1. 验证文件类型和扩展名 确保应用程序不仅依赖于客户端验证,还应在服务端严格校验上传文件的MIME类型和文件扩展名。仅依靠前端验证不足以防止恶意文件上传[^1]。 ```java // 示例:检查文件扩展名和服务端 MIME 类型匹配 String fileExtension = FilenameUtils.getExtension(file.getName()); if (!Arrays.asList("jpg", "png").contains(fileExtension.toLowerCase())) { throw new RuntimeException("Invalid file type"); } ``` #### 2. 权限管理 确认文件上传功能受到适当的身份验证和授权机制保护,只有经过身份验证并具有相应权限的用户才能执行此操作。未受保护的上传接口可能允许未经授权访问者提交任意文件。 #### 3. 存储路径隔离 应将用户上传的内容存放在独立的应用程序之外的位置,并避免使用原始文件名保存这些资源。这有助于减少因不当配置而导致敏感数据泄露的风险。 #### 4. 处理特殊字符与编码转换 对于来自用户的输入(包括但不限于文件名称),应当实施严格的清理措施来移除潜在危险字符或序列,比如反斜杠、句号等,以及处理多字节字符集中的异常情况。 #### 5. 图像和其他二进制对象的安全性 当涉及到图像或其他类型的多媒体文件时,除了基本的格式验证外,还需考虑是否存在隐藏元数据或嵌入式脚本的可能性。某些情况下,即使看似无害的照片也可能携带威胁。 #### 6. 中间件及框架自带防护机制利用 充分利用所使用的Web应用服务器、容器以及其他组件所提供的内置防御手段,如Apache Tomcat 的`<multipart-config>`标签设置最大尺寸限制等功能。 ```xml <!-- web.xml --> <multipart-config> <!-- 设置单个文件的最大大小 (单位: 字节) --> <max-file-size>20848820</max-file-size> <!-- 设置请求中所有文件总大小的最大值 (单位: 字节) --> <max-request-size>418018841</max-request-size> <!-- 指定临时存储位置 --> <location>/tmp</location> </multipart-config> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值