应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。
校验的方法主要有:后缀名校验,文件头校验,若为图片可加透明的水印【暂未实现】
直接上代码
final static HashMap<String, String> fileHeadMap = new HashMap<>(); // 初始化文件头类型,不够的自行补充
final static int DEFAULT_CHECK_LENGTH = 3;
static {
fileHeadMap.put("jpg", "ffd8ff");
fileHeadMap.put("jpeg", "ffd8ff");
fileHeadMap.put("png", "89504e");
fileHeadMap.put("gif", "474946");
fileHeadMap.put("tif", "49492a");
fileHeadMap.put("bmp", "424d22");
fileHeadMap.put("dwg", "414331");
&nb