Java代码审计之文件包含

本文介绍了一个文件包含漏洞案例,展示了如何通过恶意构造URL来利用%00截断达到任意文件读取的目的。针对该漏洞,文章提出了三种修复建议:使用白名单限制、前端加载文件以及数据库实现,并强调了在代码审计中关注关键函数的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件

今天报一个文件包含,

正常url:http://xx.xx.xx.com/view=f01
payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00

看了一下,问题代码如下。

private String getFile(String tagId) {
        String path = getClass().getClassLoader().getResource("txt").getPath();
        logger.info(String.format("获取文件的路径:%s", path));
        String filePath = path + File.separatorChar + tagId + ".txt";
        File file = new File(filePath);
        String result = null;
        try {
            result = FileUtils.readFileToString(file);
            cache.put(tagId, result);
        } catch (IOException e) {
            logger.error(String.format("读取文件异常,tagid=%s", tagId), e);
        }
        return result;
    }

原因

开发者使用用户输入”tagId”来拼接路径,来读取一个txt文件。本来后缀已经限定好,但是攻击者用%00来截断,造成任意文件读取。

修改方案

1.使用白名单,不给用户来拼接路径。
2.在前端来实现加载txt文件。
3.数据库实现

审计

关注FileInputStream,readFileToString,readFileToByteArray

### Java 文件上传安全审计检查要点 #### 1. 验证文件类型和扩展名 确保应用程序不仅依赖于客户端验证,还应在服务端严格校验上传文件的MIME类型和文件扩展名。仅依靠前端验证不足以防止恶意文件上传[^1]。 ```java // 示例:检查文件扩展名和服务端 MIME 类型匹配 String fileExtension = FilenameUtils.getExtension(file.getName()); if (!Arrays.asList("jpg", "png").contains(fileExtension.toLowerCase())) { throw new RuntimeException("Invalid file type"); } ``` #### 2. 权限管理 确认文件上传功能受到适当的身份验证和授权机制保护,只有经过身份验证并具有相应权限的用户才能执行此操作。未受保护的上传接口可能允许未经授权访问者提交任意文件。 #### 3. 存储路径隔离 应将用户上传的内容存放在独立的应用程序之外的位置,并避免使用原始文件名保存这些资源。这有助于减少因不当配置而导致敏感数据泄露的风险。 #### 4. 处理特殊字符与编码转换 对于来自用户的输入(包括但不限于文件名称),应当实施严格的清理措施来移除潜在危险字符或序列,比如反斜杠、句号等,以及处理多字节字符集中的异常情况。 #### 5. 图像和其他二进制对象的安全性 当涉及到图像或其他类型的多媒体文件时,除了基本的格式验证外,还需考虑是否存在隐藏元数据或嵌入式脚本的可能性。某些情况下,即使看似无害的照片也可能携带威胁。 #### 6. 中间件及框架自带防护机制利用 充分利用所使用的Web应用服务器、容器以及其他组件所提供的内置防御手段,如Apache Tomcat 的`<multipart-config>`标签设置最大尺寸限制等功能。 ```xml <!-- web.xml --> <multipart-config> <!-- 设置单个文件的最大大小 (单位: 字节) --> <max-file-size>20848820</max-file-size> <!-- 设置请求中所有文件总大小的最大值 (单位: 字节) --> <max-request-size>418018841</max-request-size> <!-- 指定临时存储位置 --> <location>/tmp</location> </multipart-config> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值