关于上传文件验证是否安全

最新推荐文章于 2024-06-22 00:15:00 发布
最新推荐文章于 2024-06-22 00:15:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ASP.NET技术 C# 文章标签: string buffer byte button object exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/make1828/article/details/7715461
版权

  protected void Button1_Click(object sender, EventArgs e)
        {
            string str = FileUpload1.PostedFile.ContentType;
            Response.Write("文件类型:" + str);

            string filename = "";

            FileExtension[] fe = { FileExtension.GIF, FileExtension.JPG, FileExtension.PNG };
            if (FileValidation.IsAllowedExtension(FileUpload1, fe))
            {
                string fileExt = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower();
                Response.Write("<br>验证通过!");
                //filename = "/Images/" + DateTime.Now.ToString("yyyyMMddHHmmss") + fileExt; 
                //FileUpload1.PostedFile.SaveAs(Server.MapPath(filename)); 
            }
            else
            {
                Response.Write("<br>验证不通过,只支持以下格式的图片:JPG,GIF,PNG");
                return;
            } 
        }

 

  public enum FileExtension
    {
        JPG = 255216,
        GIF = 7173,
        PNG = 13780,
        SWF = 6787,
        RAR = 8297,
        ZIP = 8075,
        _7Z = 55122

        // 255216 jpg; 

        // 7173 gif; 

        // 6677 bmp, 

        // 13780 png; 

        // 6787 swf 

        // 7790 exe dll, 

        // 8297 rar 

        // 8075 zip 

        // 55122 7z 

        // 6063 xml 

        // 6033 html 

        // 239187 aspx 

        // 117115 cs 

        // 119105 js 

        // 102100 txt 

        // 255254 sql  

    }

    public class FileValidation
    {
        public static bool IsAllowedExtension(FileUpload fu, FileExtension[] fileEx)
        {
            int fileLen = fu.PostedFile.ContentLength;
            byte[] imgArray = new byte[fileLen];
            fu.PostedFile.InputStream.Read(imgArray, 0, fileLen);
            MemoryStream ms = new MemoryStream(imgArray);
            System.IO.BinaryReader br = new System.IO.BinaryReader(ms);
            string fileclass = "";
            byte buffer;
            try
            {
                buffer = br.ReadByte();
                fileclass = buffer.ToString();
                buffer = br.ReadByte();
                fileclass += buffer.ToString();
            }
            catch
            {
            }
            br.Close();
            ms.Close();
            foreach (FileExtension fe in fileEx)
            {
                if (Int32.Parse(fileclass) == (int)fe)
                    return true;
            }
            return false;
        }
    } 

 

make1828
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Upload一个文件上传验证和存储策略
08-07
Upload:一个文件上传验证和存储策略
php实现文件上传基本验证
10-15
例如,`$_FILES['myFile']` 含了关于上传文件的所有信息,如文件名 (`name`)、类型 (`type`)、临时存储地址 (`tmp_name`)、错误代码 (`error`) 和文件大小 (`size`)。 在PHP代码中,我们定义了一些函数来辅助验证...
Springboot 文件上传安全校验
xiaojie_std的专栏
08-01 1014
应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。log.error("获取文件头失败:{}", e.getMessage());log.info("文件头:{}", code);校验的方法主要有:后缀名校验,文件头校验,若为图片可加透明的水印【暂未实现】* @return 返回文件头。
上传文件前,校验文件内容如何实现?
情义的博客
05-11 630
项目中的一个批量导入数据的需求,批量导入数据是用的excel,需要前端上传excel文件时先将文件中的数据解析一下,然后根据业务需求对每一列的字段进行一些基础校验,如字段是否非空,字符串长度是否超出范围等等,接下来就来梳理一下这个需求的基本实现关于这种比较通用的文件上传或者文件解析功能,在项目里适合基于业务封装成通用的组件或函数,在未来类似的需求中可以相对快速完成相关功能关于文件解析校验,还有更优雅的实现思路吗?
【ctf】文件上传漏洞——服务端校验(一)
wlllllianqing的博客
10-05 835
文件上传漏洞——服务端校验 当我们上传php文件或其他的木马文件时,不止会出现前端的js检测,还会有服务端的校验 content-type字段校验 MIME(Multipurpose Internet Mail Extensions)多用途网络邮件扩展类型,可被称为Media type或Content type,它设定某种类型的文件当被浏览器打开的时候需要用什么样的应用程序,多用于HTTP通信和设定文档类型例如HTML。 常用类型 上传场景: 而在进行文件上传时,后端往往会对content-type进行过
Web安全-文件上传漏洞(常见上传解析漏洞,常见检测方式绕过)
m0_74220316的博客
07-04 2268
Webshell是一种利用Web服务器的漏洞或弱点,通过远程上传恶意代码到服务器上(实质上是一种网页后门),并执行命令或控制服务器的一种攻击方式。在上传过后,该文件与网站服务器web目录下的正常网页文件混在一起,然后就可以通过该文件得到一个命令执行环境攻击者可以通过Webshell获取服务器的高权限,进而进行非法操作,例如修改服务器文件、数据库操作、执行系统命令等。Webshell具有隐蔽性高、操作方便等特点,常被用于非法攻击、入侵行为或用于进行系统安全评估和渗透测试。
判断上传文件是否存在危险代码
M.PHP
11-05 602
 判断上传文件是否存在危险代码function CheckFileContent(FileName)dim ClientFile,ClientText,ClientContent,DangerString,DSArray,AttackFlag,kset ClientFile=Server.CreateObject("Scripting.FileSystemObject")set Client
php使用ereg验证文件上传的方法
10-25
在PHP编程中,文件上传是常见的功能之一,用于允许用户上传文件到服务器。为了确保上传的文件安全且符合预期格式,通常需要进行验证。本文将详细介绍如何使用`ereg`函数来验证文件上传的过程。 `ereg`是PHP中的一个...
文件上传验证大小类型)
05-13
在这个例子中,我们定义了一个允许的文件类型列表,并检查上传文件的扩展名是否在其中。 总的来说,Java中的文件上传涉及到了Servlet API、文件大小限制和文件类型的验证。在实际开发中,我们还需要考虑安全性,...
web网站文件上传漏洞和攻击-运维安全详细笔记
06-30
Web 网站文件上传漏洞和攻击 - 运维安全详细笔记...为了防御文件上传攻击,我们需要验证用户上传的文件类型和内容,限制用户上传文件的大小和数量,并使用 Web 应用程序防火墙和入侵检测系统来检测和防御文件上传攻击。
上传图片前判断文件格式与大小验证文件是不是图片
10-26
这不仅可以防止恶意用户上传安全的文件,也可以保护服务器资源免受过度消耗。本篇将深入探讨如何在上传图片前判断文件格式和大小,以确保上传的文件确实是图片且不超过规定的大小。 首先,我们需要实现一个方法来...
ASP.NET通过byte正确安全的判断上传文件格式
10-22
本文介绍一种更安全的方式上传图片,他能有效的防止一些通过修改文件后缀或MIME来伪造的图片的上传,从而保证服务器的安全,希望对大家有所帮助。
文件上传、数据校验(后台)、拦截器
weixin_38169786的博客
09-04 451
目录 1. 文件上传 2.拦截器 3.数据校验(后台校验) 1. 文件上传 需要上传的jar——fileploat 网页端 表单必须是post提交,编码必须是multipart/form-data 文件上传文本框必须起名 <form method="post" ...
安全】【测试思路】文件上传下载之绕过上传时内容校验的DDE注入攻击
次次次不吃饼干_的博客
07-28 1512
安全】【测试思路】文件上传下载之基于bypass的DDE注入攻击DDE注入介绍测试流程图测试思路服务器搭建攻击脚本参考上传文件准备 DDE注入介绍   DDE(Dynamic Data Exchange,动态数据交换)是应用之间传输数据的一种方法。Excel可以使用这种机制,根据外部应用的处理结果来更新单元格的内容。因此,如果我们制作含(恶意)DDE公式的xlsx/csv文件,那么在打开该文件时,Excel就会尝试执行外部应用,以达到攻击的目的。 测试流程图 测试思路 服务器搭建   在这里,咱们可以使
Web安全基础学习:文件上传漏洞之前端校验
最新发布
qq_51862722的博客
06-22 563
文件上传漏洞:字如其意,就是可能出现在一切允许上传文件的功能点。它是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
springboot实现上传文件校验文件是否有病毒
weixin_47425074的博客
02-23 1425
在Spring Boot中,你可以使用以下工具来实现文件上传时的病毒校验:ClamAV:ClamAV是一个开源的病毒扫描引擎,它可以用于检测和删除恶意软件。你可以在Spring Boot应用程序中使用ClamAV来扫描上传的文件是否含病毒。你可以使用Java API(如JClam)来与ClamAV进行交互。Metascan:Metascan是一款多引擎的病毒扫描工具,它可以同时使用多个病毒扫描引擎来对文件进行扫描,提高准确性。
文件上传漏洞:突破JS本地验证
自学编程_youkewang.top
03-12 2165
关于文件上传漏洞不多说了吧,搞web安全的都应该接触过,在上传漏洞中我们常碰到的一种js验证比较烦人,对于网站是否启用的js验证的判断方法,无法就是利用它的判断速度来判断,因为js验证用于客户端本地的验证,所以你如果上传一个不正确的文件格式,它的判断会很快就会显示出来你上传的文件类型不正确,那我们就能判断出该网站是使用的js验证,ok,今天就教大家怎么突破它。废话不多说了吧,直接上测试用的代码吧。...
006-文件上传校验与直接下载
weixin_30478757的博客
01-12 60
-》说明:使用http协议只适合传输小文件,如果想传递大文件,则需要使用插件或者客户端程序(使用ftp协议)-》客户端操作《1》为表单添加属性:enctype="multipart/form-data"《2》在表单中添加控件:<input type="file" name="f1"/> 《3》表单必须使用post提交方式-》服务器端操作《1》使用Request.Files属性获取文件对...
文件上传js、mime、黑名单校验以及相关例题讲解
DKPT的博客
11-14 80
上传就是将信息从个人计算机(本地计算机)传送至中央计算机(远程计算机)系统上,让网络上的人都能看到。将制作好的网页、文字、图片、视频等通过Web或者Ftp传送至互联网上的服务器系统,这一过程称为上传。“上传” (“上载”)的反义词是“下载”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值