如何防止木马性图片上传

最新推荐文章于 2023-10-25 17:19:37 发布
最新推荐文章于 2023-10-25 17:19:37 发布
阅读量1.6k 收藏
点赞数
文章标签: java 运维 移动开发

这个代码我检验过没有问题,可以阻挡木马性图片的上传
<%
'***************************************************************
'CheckFileType 函数用来检查文件是否为图片文件
'参数filename是本地文件的路径
'如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false
'***************************************************************

const adTypeBinary=1

dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
Response.Write CheckFileType(Server.MapPath("2.gif"))

function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>

netlynx2000
关注
ASP下检测图片木马的函数代码
01-02
木马原理:入侵者使用诸如ASP图片木马生成器之类的工具将一张正常的图片与一个ASP木马文件合并成一个图片文件(即将对网站有害的 ASP代码插在图片编码之后,虽然图片仍然可以正常显示,但是文件内容和尺寸已被改变),然后通过网站提供的文件上传功能上传这一张“合 ‘法的”图片,进而实现了上传ASP木马的目的。 ‘ 范方法:因为这种木马图片木马的二合一,所以需要在上传图片前检查文件内容,若文件内容不合法(即包含有恶意代码在里面), ‘则禁止上传,从而堵住了木马攻击的源头,这是木马攻击的第一关,至关重要,必须堵住。 ‘****************************************
C#判断上传文件是否是图片防止木马上传的方法
09-04
尤其是在开发Web应用程序时,用户上传功能可能会被不法分子利用,他们可能将木马程序伪装成图片文件进行上传,从而对服务器安全构成威胁。C#作为.NET框架的主要编程语言,提供了多种方法来判断上传的文件是否为真正...
防止图片木马
fengyulou的博客
09-04 1253
这问题困扰里我一段时间,图片压缩,不用二进制,用base64分段传输,头尾放一下没用的字符,到了服务器在给取消掉。服务器端放图片文件禁止没有运行的权限。完美解决图片木马。 ...
PHP防止图片木马攻击
weixin_33868027的博客
05-08 683
2019独角兽企业重金招聘Python工程师标准>>> ...
构造图片木马,绕过文件内容检测上传木马
热门推荐
追风筝的孩子
09-04 1万+
      一般文件内容验证使用getimagesizeo函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。将一句话木马插入到一个【合法】的图片文件当中,然后用菜刀远程连接。     1、选择要上传的木马,将后缀名(.php)改成(.php.jpg),发现此文件不允许上传,服务器对上传的内容进行了检测。     2、此时我们随便找个图片,与要上传的木马放在同...
asp防止上传图片木马原理解析
01-03
'您没有选择上传文件')[removed]) Response.Write([removed]history.go(-1)[removed]) Response.End() end if 将文件上传到服务器后,判断用户文件中的危险操作字符: set MyFile = server.CreateObject...
ASP防止图片木马上传的代码
10-28
在网络安全领域,图片...总之,防止图片木马上传需要多层御,包括文件类型检查、大小限制、内容扫描等,以确保网站的安全。上述ASP代码提供了一个基本的图片类型检查方案,但实际应用中还需要结合其他护策略。
检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过
01-02
今天试了下AspJpeg组件,发现用AspJpeg组件去处理不正常的图片文件的时候就会出错,呵呵,这个正好可以让我们用来检查图片的合法,偶给封装成函数了~ 代码如下:‘——————————————- ‘函数名:chkimg...
java 文件上传漏洞_文件上传漏洞(绕过姿势)
weixin_33315077的博客
02-16 4642
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点护建议。(根据个人经验总结,欢迎补充纠错~~)文件上传校验姿...
java 文件上传漏洞_Web安全 - 文件上传漏洞
weixin_42548816的博客
02-16 1105
File Upload一、原理一些web应用程序中允许上传图片,文本或者其他资源到指定的位置。文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中,再通过URL去访问以执行恶意代码。二、检测与绕过客户端检测(Javascript检测)在网页上写一段Javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。绕过方法:1.直接禁用Javascri...
文件上传防止攻击的操作
Java持续实践
04-22 2228
在网站中允许用户上传文件, 上传的文件可能是可执行的脚本, 病毒或者木马文件. 可能会黑掉项目或者数据库. 即使做了文件的后缀限制,但黑客可能也会把病毒的后缀改成常用的文件名后缀, 上传到系统后对系统进行攻击. . 解决的方案 读取这个文件的二进制数据流,根据文件的二进制数据的开头的几个字节代表的magic number来判断文件的类型 例如class文件的魔数为 0x CAFEBABE开头...
制作绕过二次渲染的图片
全栈菜鸟的博客
04-26 8853
制作绕过二次渲染的图片前言一、简单的图片的制作二、图片二次渲染绕过1、gif图片2、png图片3、jpg图片 前言 图片的三种常用图像格式gif,png,jpg。这里提供三种图片绕过二次渲染的方法。 一、简单的图片的制作 准备一张图片(1.jpg),写好一句话木马的文件(1.php) 将1.jpg和1.php放在同一目录下,在该目录下打开cmd命令提示符(也可以打开powershell...
文件上传的漏洞介绍及常见御方法V1.0
qq_49849300的博客
02-16 3125
if (file==null||file==""){ alert("请选择要上传的文件");
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2039
web常见安全漏洞以及修复建议
文件上传漏洞通关,从0-1
blackguest07的博客
02-17 624
文件上传从0-1,工具推荐到waf绕过以及文件上传的一些利用案例。
文件上传漏洞:getshell的最好方式,我们如何御?
李熠专用博客_白帽子一枚,人称低危终结者
09-09 3059
我相信,你在开发Web应用时,后端一定会提供文件的上传功能,比如前端页面肯定有图片的展示,后端必定会提供图片的上传入口。但是,你在做文件上传功能时,是否考虑过它的安全问题呢? 请看下面的代码: @PostMapping("upload") public String upload(@RequestParam("file")MultipartFile file,HttpServletRequest request)throws Exception{ String filename = fil.
java上传接口防止zip炸弹攻击
最新发布
melck的博客
10-25 1275
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
java 如何阻止图片木马
06-13
Java防止图片木马的主要方法是通过对上传的图片进行严格的检查和过滤,以防止恶意代码的注入。以下是一些常见的防止图片木马的方法: 1. 对上传的图片进行类型和大小的检查,只允许上传指定类型和大小的图片。 2. 对上传的图片进行病毒扫描,以确保图片中不包含恶意代码。 3. 对上传的图片进行二次渲染,以去除其中可能存在的恶意代码。 4. 对上传的图片进行压缩和优化,以减少图片中的冗余信息和可能存在的恶意代码。 5. 对上传的图片进行加密,以确保图片中的信息不被恶意代码所窃取。 总之,防止图片木马需要从多个角度进行考虑和保护。建议您在开发时使用第三方的安全框架或库,以提高代码的安全和可靠
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值