小心Commons fileupload攻击[更新]

最新推荐文章于 2023-08-08 15:33:55 发布
最新推荐文章于 2023-08-08 15:33:55 发布
阅读量736 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d8111/article/details/45249773
版权

1.这种攻击不会出现在BS的应用中,因为要从web页面模拟攻击比较累。而CS程序则天生可能会隐藏这种问题。

 

2.经过认真的跟进,最终发现问题出在sizeThreshold 这个参数上。

 

让人费解的来由是:

org.apache.commons.fileupload.FileUploadBase这个基类351行,解析request调用了

 

OutputStream os = item.getOutputStream();

 

跟进去看方法实现:

    public OutputStream getOutputStream()
        throws IOException {
        if (dfos == null) {
            File outputFile = getTempFile();
            dfos = new DeferredFileOutputStream(sizeThreshold, outputFile);
        }
        return dfos;
    }

 再进去看getTempFile,发现这里创建了文件

 

    protected File getTempFile() {
        File tempDir = repository;
        if (tempDir == null) {
            tempDir = new File(System.getProperty("java.io.tmpdir"));
        }

        String fileName = "upload_" + UID + "_" + getUniqueId() + ".tmp";

        File f = new File(tempDir, fileName);
        FileCleaner.track(f, this);
        return f;
    }

 

也就是只要使用了fileupload组件,就会走到 getTempFile,就会创建临时文件。而文档中提到的sizeThreshold根本无用(确实整个代码跟进的过程中,sizeThreshold都没有使用到)

 

 

那么真实情况如何?

 

1.下面这句并不会真的在磁盘创建文件。。也是久疏基础知识,让自己的推理陷入了误区。

File f = new File(tempDir, fileName);

 2.sizeThreshold这个参数(The threshold above which uploads will be stored on disk.)起作用的地方并不在common.fileupload这个项目中,而是上面getOutputStream这段代码中,将这个参数传到了common.io这个项目中的实现类。也就是项目依赖。

 dfos = new DeferredFileOutputStream(sizeThreshold, outputFile);

 

 

 

-------------------------原帖分界线----------------------------------

最近搞人的一桩事情:

 

 

严重: Socket accept failed
java.net.SocketException: Too many open files
	at java.net.PlainSocketImpl.socketAccept(Native Method)
	at java.net.PlainSocketImpl.accept(PlainSocketImpl.java:384)
	at java.net.ServerSocket.implAccept(ServerSocket.java:453)
	at java.net.ServerSocket.accept(ServerSocket.java:421)
	at org.apache.tomcat.util.net.DefaultServerSocketFactory.acceptSocket(DefaultServerSocketFactory.java:61)
	at org.apache.tomcat.util.net.JIoEndpoint$Acceptor.run(JIoEndpoint.java:310)
	at java.lang.Thread.run(Thread.java:619)

 

排查很久才发现,竟然是文件上传这个地方的问题。无论有意还是恶意,都会让人恼火。

 

有些客户端故意使用multi-part封装全部参数, 比如"abc=111"的普通参数,经过包装后post,成了multi-part。 这样就绕过Jakarta Commons Fileupload的判断逻辑:

 

具体的恶劣方式如下:

1.给一个request带上20+个参数,全部变成mutiparty+ post提交。给服务器带来大量的临时文件创建、删除压力。

2.大量的请求耗时较长的接口。当linux下文件句柄消耗完, 服务停止响应。

 

 

可考虑的解决方式??

1.限制上传文件的类型, 非常有必要.

2.升级commons.fileupload 到1.2+,后面的版本有提供新的接口处理这个bug

3.改造MultiPartRequest,根据业务限制每个request带的FileItem个数。基本限制到1-2个即可。超出立即丢弃。

  • 大小: 14.2 KB
宋玮-深圳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
升级Spring Boot文件上传功能:从commons-fileuploadcommons-fileupload2-jakarta
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-20 908
本文将探讨在Spring Boot应用程序中实现文件上传功能的必要性,以及为什么需要从过时的commons-fileupload升级到现代的commons-fileupload2-jakarta库。我们将提供解决问题的方法和步骤,确保您的应用程序在性能、安全性和兼容性方面保持最佳状态。
commons-fileupload-1.4-API文档-中文版.zip
05-09
赠送jar包:commons-fileupload-1.4.jar; 赠送原API文档:commons-fileupload-1.4-javadoc.jar; 赠送源代码:commons-fileupload-1.4-sources.jar; 赠送Maven依赖信息文件:commons-fileupload-1.4.pom; 包含...
Commons FileUpload1.21和1.3版本 升级Commons FileUpload1.5升级说明中“ simple yet flexible means ” 是哪种方法
JEFFYU328的专栏
03-09 2537
Commons FileUpload1.21和1.3到Commons FileUpload1.5 如何升级、问题在哪请大佬教一下,不甚感激!
安全漏洞修复-Common FileUpload-CVE-2016-100031
llCnll的博客
04-11 4669
一. 漏洞描述 近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。 受影响版本: Apache Struts <= 2.3.36 Apache Common FileUpload < 1.3.3 二. 修复方式 Common FileU
SpringBoot内嵌Tomcat版本升级步骤
Marclew_的博客
02-23 5937
SpringBoot内嵌Tomcat版本升级步骤 Apache Commons FileUpload漏洞(CVE-2023-24998)
关于uploadfile的版本问题
zhoulv163的博客
05-10 1212
对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的。 一般选择采用apache的开源工具common-fileupload这个文件上传组件。 common-fileupload是依赖于common-io这个包的,所以还需要下载这个包。 common-fileupload一般使用commons-fileupload-1.4.jar,但存在一个问题就是 isMultipartContent(HttpServletRequest request) 中的request对象使用的是Java
开发工具 commons-fileupload-1.3.2
05-31
开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2...
Commons FileUpload 1.4 + IO 2.2
01-19
Java借助commons-fileupload组件实现文件上传所需包 Apache Commons FileUpload 1.4 (requires Java 1.6 or later) Note: This version of Commons FileUpload also requires Commons IO 2.2.
commons-fileupload-1.3.3-API文档-中文版.zip
07-12
赠送jar包:commons-fileupload-1.3.3.jar; 赠送原API文档:commons-fileupload-1.3.3-javadoc.jar; 赠送源代码:commons-fileupload-1.3.3-sources.jar; 赠送Maven依赖信息文件:commons-fileupload-1.3.3.pom;...
commons commons-fileupload历史版本jar包集合
08-18
commons commons-fileupload历史版本jar包集合,包括src源码 附件列表: commons-fileupload-1.0.zip commons-fileupload-1.1.1.zip commons-fileupload-1.1.zip commons-fileupload-1.2.1-bin.zip commons-...
common-fileupload
03-22
利用commons-fileupload组件实现的java的文件的上传与下载。
apache commons fileupload 依赖(2016-07-01更新
Jog熊吉的博客
07-08 3833
项目依赖 编译 以下是该项目编译依赖列表。这些依赖被要求用于编译以及运行应用程序: GroupId ArtifactId Version Type Licenses commons-io commons-io 2.2 jar Apache软件许可证,版本2.0(Apache-
apache commons fileupload 用户手册(2016-07-01更新
Jog熊吉的博客
07-06 884
此次说明更新对上传文件回收的监听器类做了变更,说明旧的监听器类可能已被淘汰并失效。 ------------------------------------ 使用FileUpload(Using FileUploadFileUpload可以根据你应用程序(application)的需求(requirement)而使用到许多不同的地方。最简单地当它被应用到你的应用程序(appl
springboot框架下基于commons-fileupload实现文件上传、下载
weixin_45948376的博客
08-21 4100
先来讲述一下commons-fileupload实现上传的流程。 1.添加依赖。 <!-- commons 文件操作 --> <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId> <version>2.5</version> <
CommonsFileupload的使用
zhouyi8510的专栏
12-08 3717
导入commons-fileupload-1.2.1.jar    commons-io-1.4.jar 1.页面Form必需要加 ENCTYPE="multipart/form-data" method="post"   2.上传处理步骤  // 实例化一个硬盘文件工厂,用来配置上传组件ServletFileUpload  DiskFileItemFactory dfif = new
apache commons fileupload 依赖信息(2016-07-01更新
Jog熊吉的博客
07-13 4885
依赖信息 Apache Maven     commons-fileupload   commons-fileupload   1.4-SNAPSHOT Apache Buildr   'commons-fileupload:commons-fileupload:jar:1.4-SNAPSHOT' Apache Ivy     Groovy Grape
PAS兼容:使用struts框架,采用enctype=“multipart/form-data“请求提交表单数据时无法获取请求参数和文件。
py_doc的博客
07-22 136
使用struts框架,采用enctype="multipart/form-data"请求提交表单数据时无法获取请求参数和文件。
Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)
最新发布
weixin_45816407的博客
08-08 2206
接着点击WEB-INF文件夹下的lib文件夹将下载的jar包放入。直接修改webapp中的解压后的war包文件。一直点击,点击pom.xml。
commons fileupload 的pom文件叫啥
05-30
Apache Commons FileUpload的POM文件名为`commons-fileupload`,它可以在Maven中通过以下方式引入: ```xml <groupId>commons-fileupload <artifactId>commons-fileupload <version>1.4 ``` 其中,`groupId`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值