若已正确判断出图片类型,防止了绝大多数恶意图片上传。但是若通过修改文件流的方法,给一张本身合法的图片中强行写入一些恶意代码,或者病毒代码,这样前面的方法仍然能够顺利通过,因为它本身是张正确格式的图片,仅仅读取字节与获取图片类型无法做到清除这种类型图片中隐藏的恶意代码。附用UE打开后的恶意图片部分内容,图片的右半部分显示了恶意脚本:
试想,如这种类型图片上传到服务器,当引用了该图片的网页被访问时,而恰好用户的机子装了杀毒软件,则此时杀毒软件会对该页面报警,如果您的网页中存在大量的这种图片,那惨啦,一打开网页,杀毒软件就开始报病毒。这样用户还再敢访问您的网站。
针对这种情况,对于图片类型的文件,可以在上传后,对图片进行相应的缩放,破坏恶意用户上传的二进制可执行文件的结构,来避免恶意代码执行。jmagick可以对图片进行相应处理,而该工具提供的图片缩放方法能将多余的非图片元素清除,那么我们只需要在正确校验格式后对图片按原大小进行一次缩放来清除恶意信息:
代码如下:
packageapistudy;
importjava.io.IOException;
importmagick.ImageInfo;
importmagick.MagickImage;
/**
*Createdon2010-7-8
*<p>Description:[通过jmagick清除图片中的恶意信息]</p>
*@author[emailprotected]
*@version1.0
*/
publicclassImageTypeTest
{
static
{
System.setProperty("jmagick.systemclassloader","no");
}
/**
*Createdon2010-7-8
*<p>Discription:[main]</p>
*@paramargs
*@author:[[emailprotected]]
*/
publicstaticvoidmain(String[]args)
{
StringsrcFileName="c:/img/c.jpg";
try
{
filterImageByScale(srcFileName);
}
catch(IOExceptione)
{
e.printStackTrace();
}
}
/**
*Createdon2010-7-8
*<p>Discription:[filterImageByScale,清除图片中的恶意代码]</p>
*@paramsrcFileName
*@throwsIOException
*@author:[[emailprotected]]
*/
publicfinalstaticvoidfilterImageByScale(StringsrcFileName)throwsIOException
{
MagickImagemagic=null;
try
{
ImageInfoimgInfo=newImageInfo(srcFileName);
magic=newMagickImage(imgInfo);
intwidth=(int)magic.getDimension().getWidth();
intheight=(int)magic.getDimension().getHeight();
MagickImagenewImage=magic.scaleImage(width,height);
newImage.profileImage("*",null);//清除无用信息
newImage.setImageAttribute("JPEG-Sampling-factors",null);//清除无用信息
newImage.setImageAttribute("comment",null);//清除无用信息
newImage.writeImage(newImageInfo());
newImage.writeImage(imgInfo);
}
catch(Exceptione1)
{
e1.printStackTrace();
}
finally
{
try
{
magic.destroyImages();
}
catch(Exceptione2)
{
e2.printStackTrace();
}
}
}
}
运行以上程序后,再打开看原来的图片,恶意内容已经没有了,大小也比以前小了,杀毒软件也不会报病毒了。
708
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
