shiro安全框架扩展教程--上传文件的安全控制

dawuafang

浏览: 1104901 次

最近访客更多访客>>

jmq2007

hbyufan

cqnieenp

leisure0422

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (2899)

社区版块

存档分类

2017-01 ( 14)
2016-12 ( 14)
2016-11 ( 12)
更多存档...

相信每一个项目都会存在文件上传功能,最常见的就是图片,音频,视频等上传,但是如果用户多的应用都会存在用户恶意上传动作,包括伪装成可上传文件,

按照我们以往的方式,普通地判断后缀名,那是不可行,除了一些内部系统可以这样简单的玩耍,那对外的互联网应用项目是不够严格的

下面举例个简单的攻击

1. 我们的上传代码中只判断了,request里面的文件类型

2. 恶意用户把一个jsp文件,修改了头文件信息,这样就可以骗过浏览器上传过程中是显示文件是image/jpeg

3. 然后文件就可以直接保存成功了,很明显这是由于服务端判断不严谨导致的,用户访问xxxx路径下的上传jsp文件然后就可以执行jsp里面的脚本,你的资料基本就泄漏的差不多了

然后下面如果说是加个后缀名判断,也差不多可以这样绕过

我们都知道文件都有所谓的文件头信息,但是除了jsp,txt等一些特殊的是没有固定的,所以我们要排除这些

下面看看一些常用的文件头信息匹配

                fileHeaderType.put(".jpg", "FFD8FF"); // JPEG (jpg)
		fileHeaderType.put(".png", "89504E47"); // PNG (png)
		fileHeaderType.put(".gif", "47494638"); // GIF (gif)
		fileHeaderType.put(".tif", "49492A00"); // TIFF (tif)
		fileHeaderType.put(".bmp", "424D"); // Windows Bitmap (bmp)
		
		fileHeaderType.put(".zip", "504B0304");
		fileHeaderType.put(".rar", "52617221");
		fileHeaderType.put(".7z", "377abcaf");
		
		fileHeaderType.put(".xls", "D0CF11E0");
		fileHeaderType.put(".xlsx", "504b030414");
		fileHeaderType.put(".doc", "D0CF11E0"); 
		fileHeaderType.put(".docx", "504b0304"); 
		
		fileHeaderType.put(".dwg", "41433130"); // CAD (dwg)
		fileHeaderType.put(".html", "68746D6C3E"); // HTML (html)
		fileHeaderType.put(".rtf", "7B5C727466"); // Rich Text Format (rtf)
		fileHeaderType.put(".xml", "3C3F786D6C");
		
		fileHeaderType.put(".psd", "38425053"); // Photoshop (psd)
		fileHeaderType.put(".eml", "44656C69766572792D646174653A"); // Email

		fileHeaderType.put(".dbx", "CFAD12FEC5FD746F"); // Outlook Express (dbx)
		fileHeaderType.put(".pst", "2142444E"); // Outlook (pst)
		
		fileHeaderType.put(".mdb", "5374616E64617264204A"); // MS Access (mdb)
		fileHeaderType.put(".wpd", "FF575043"); // WordPerfect (wpd)
		fileHeaderType.put(".eps", "252150532D41646F6265");
		fileHeaderType.put(".ps", "252150532D41646F6265");
		fileHeaderType.put(".pdf", "255044462D312E"); // Adobe Acrobat (pdf)
		fileHeaderType.put(".qdf", "AC9EBD8F"); // Quicken (qdf)
		fileHeaderType.put(".pwl", "E3828596"); // Windows Password (pwl)
		fileHeaderType.put(".wav", "57415645"); // Wave (wav)
		fileHeaderType.put(".avi", "41564920");
		fileHeaderType.put(".ram", "2E7261FD"); // Real Audio (ram)
		fileHeaderType.put(".rm", "2E524D46"); // Real Media (rm)
		fileHeaderType.put(".mpg", "000001BA"); //    
		fileHeaderType.put(".mov", "6D6F6F76"); // Quicktime (mov)
		fileHeaderType.put(".asf", "3026B2758E66CF11"); // Windows Media (asf)
		fileHeaderType.put(".mid", "4D546864"); // MIDI (mid)

如何使用呢?我们应该读取文件的前面一些字节,然后匹配这些固定的字符串,如果可以匹配上那证明是合法的

/** 获取文件头 */
	private static String getFileHeader(File file, int byteSize) throws IOException {

		InputStream in = new FileInputStream(file);

		byte[] b = new byte[byteSize];
		in.read(b, 0, b.length);

		if (b == null || b.length <= 0) {
			return null;
		}

		StringBuffer buffer = new StringBuffer();

		for (int i = 0, len = b.length; i < len; i++) {
			int v = b[i] & 0xFF;
			String hv = Integer.toHexString(v);
			if (hv.length() < 2) {
				buffer.append(0);
			}
			buffer.append(hv);
		}
		return buffer.toString().toLowerCase();
	}

然后使用对应的类型和对应的文件头信息匹配,但是有个比较麻烦的问题,如果图片把jpg后缀改成png,应该算是正常合法的,所以这个时候应该把当前后缀全部匹配下图片的魔数

如果找到一个合法则认为通过,这样处理应该是比较正确的

分享到：

HTML5基础小结（一）——标签变化 | Android消息处理机制

2014-10-27 17:10
浏览 651
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论