ASP.NET杜绝文件上传漏洞的代码

最新推荐文章于 2024-05-24 08:30:00 发布
最新推荐文章于 2024-05-24 08:30:00 发布
阅读量2k 收藏 1
点赞数
分类专栏: ASP.Net编程 文章标签: asp.net upload server buffer exception object
检测文件的头部编码,不同类型文件的头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
<html xmlns=" http://www.w3.org/1999/xhtml " >
<head runat="server">
<title>无标题页</title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:FileUpload ID="FileUpload1" runat="server" />
<asp:Button ID="btn_upload" runat="server" OnClick="btn_upload_Click" Text="上传" />
</div>
</form>
</body>
</html>

可以实现真正意义上的文件类型判断,推荐使用这种方法.


using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;

public partial class _Default : System.Web.UI.Page
{
   protected void Page_Load(object sender, EventArgs e)
   {

   }
   protected void btn_upload_Click(object sender, EventArgs e)
   {
     try
     {
        //判断是否已经选取文件
        if (FileUpload1.HasFile)
        {
           if (IsAllowedExtension(FileUpload1))
           {
               string path = Server.MapPath("~/images/");
               FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
               Response.Write("<script>alert(’上传成功’);</script>");
            }
            else
           {
               Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");
            }

        }
        else
        {
            Response.Write("<script>alert(’你还没有选择文件’);</script>");
         }
    }
    catch (Exception error)
    {
       Response.Write(error.ToString());
    }
}
//真正判断文件类型的关键函数
public static bool IsAllowedExtension(FileUpload hifile)
{
    System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
    System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
    string fileclass = "";
    byte buffer;
   try
   {
      buffer = r.ReadByte();
      fileclass = buffer.ToString();
      buffer = r.ReadByte();
      fileclass += buffer.ToString();

   }
   catch
   {

   }
   r.Close();
   fs.Close();
   if (fileclass == "255216" || fileclass == "7173")
//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
   {
      return true;
    }
    else
   {
      return false;
   }

}
}
        这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序,而从文件的根源判断,即使文件路径为虚假,但文件的编码是不好改变的。
TQY2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net文件上传和文件删除的代码
10-30
在本文中,我们将详细介绍如何在 ASP.NET 中实现文件上传和删除,并提供相应的代码示例。 文件上传ASP.NET 中,文件上传可以通过使用 `HttpPostedFile` 对象来实现。`HttpPostedFile` 对象提供了一个 `...
Asp.Net超大文件上传问题解决
01-21
最近涉及到用asp.net做上传功能的一个问题,因为asp.net有fileupload的上传控件,但是这个控件上传的文件大小有限,所以根本满足不了需求百度了下,很多人遇到asp.net上传超大文件的困惑,偶尔搜索发现csdn有个哥们...
Web文件对应的ContentType类型大全
stonec的专栏
10-23 782
通过文件的PostedFile.ContentType属性得到的文件类型并非真实类型,需要通过其他手段判断。".*"="application/octet-stream"".001"="application/x-001"".301"="application/x-301"".323"="text/h323"".906"="application/x-906"".907"="drawing/9
.NET 复现某多媒体中间件文件上传漏洞
最新发布
ahhacker86的专栏
05-24 905
某信息发布系统也称数字标牌,是指通过大屏幕终端显示设备,发布商业、财经和娱乐信息的多媒体专业视听系统,常被称为除纸张媒体、电台、电视、互联网之外的“第五媒体”。该系统基于Web的全B/S先进架构,支持大用户数、大并发数及权限管理,可以同时连接数千、上万个播放终端。
根据文件字节流判定文件类型
weixin_30872867的博客
06-15 263
文件转换为二进制后,可根据前两个字节判定文件类型,已防止扩展名变更后,无法识别文件 199196 sqlite数据库文件 7076 flv视频文件 6787 swf视频文件 7173 gif 255216 jpg 13780 png 6677 bmp 239187 txt,aspx,asp...
把php文件伪装成jpg上传,用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?...
weixin_39982017的博客
03-10 356
很简单,检测文件头,如果不是规定的类型就删除。以下为摘抄自网络的代码示例。function file_type($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);$typeCode = intval($s...
判断上传文件是否是图片文件
C770711142的博客
08-13 1963
方法一:用image对象判断是否为图片 /// <summary> /// 判断文件是否为图片 /// </summary> /// <param name="path">文件的完整路径</param> /// <returns>返回结果</returns> public Boolean IsImag...
asp.net 文件上传 实时进度
01-01
多文件,自定义生成缩略图,水印)asp.net 简便无刷新文件上传系统asp.net中Fine Uploader文件上传组件使用介绍用Fine Uploader+ASP.NET MVC实现ajax文件上传[代码示例]asp.net html控件的File控件
asp.net文件上传解决方案实例代码
01-02
ASP.NET Core WebAPI 作后端 API ,用 Vue 构建前端页面,用 Axios 从前端访问后端 API ,包括文件的上传和下载。 准备文件上传的API #region 文件上传 可以带参数 [HttpPost(upload)] public JsonResult ...
asp.net实现文件下载的代码
01-02
代码如下: public partial class FileDownLoad : System.Web.UI.Page { //提供下载的文件,不编码的话文件名会乱码 private string fileName = HttpContext.Current.Server.UrlEncode(“规范.rar”); private string...
文件上传之文件头检测绕过上传
2301_79299101的博客
11-08 481
1,有的文件上传,上传时候会检测头文件,不同的文件,头文件也不尽相同。常见的文件上传图片头检测 它检测图片是两个字节的长度,如果不是图片的格式,会禁止上传。这个是存在文件头检测的上传,getReailFileType 是检测jpg、png、gif 的文件头 如果上传的文件符合数字即可通过检测。1.制作图片一句话,使用 copy 1.gif/b+s.php shell.php 将php 文件附加再jpg图片上,直接上传即可。并且将后缀名改成gif。
文件上传之路之四:文件头检测绕过上传
weixin_62715196的博客
08-14 510
有的文件上传,上传时候会检测头文件,不同的文件,头文件也不尽相同。常见的文件上传图片头检测它检测图片是两个字节的长度,如果不是图片的格式,会禁止上传。
C# 判断图形文件(GIF,JPG,PNG)的图片格式的方法
chengs_的专栏
06-17 5106
转自: http://blog.csdn.net/snakorse/article/details/20471429 通过读取文件内容来判断。     所有的图片文件都包括:文件识别头和图象数据两部分,     其中文件识别头用来让 计算机判断是哪种文件 格式。      JPEG        所有的JPEG文件以字符串“0xFFD8”开头,并以字符串“0xFF
Check图片类型[JPEG(.jpg 、.jpeg),TIF,GIF,BMP,PNG,PDF]
kongwei521的专栏
12-05 2589
public static FileExtension CheckFileExtension(string fileName)   {    if (!File.Exists(fileName))    {     return FileExtension.VALIDFILE;    }    FileStream fs = new FileStream(fileName, FileM
检测文件的真实类型
恍然83的专栏
09-05 3818
private bool IsAllowedExtension(HttpPostedFile hifile) 'k H6RnfSS3U0        {ITPUB个人空间+c AE'g)m             bool ret = false; 2? JX)V#`t:W/B0 Fj U#V r0            System.IO.FileStream fs 
ASP.NET常用方法
10-26
本文将重点介绍ASP.NET中的文件上传和下载方法,并提供了一个附件下载的示例方法。 ASP.NET提供了一系列的方法来处理文件上传。通过使用FileUpload控件,开发人员可以轻松地实现文件上传功能。FileUpload控件允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值