javaWeb作业之文件上传与下载(预防文件上传安全漏洞)

最新推荐文章于 2024-06-11 18:14:40 发布
最新推荐文章于 2024-06-11 18:14:40 发布
阅读量5.1k 收藏 7
点赞数 2
分类专栏: java servlet javaWeb JavaWeb基础 文件上传与下载 文件上传漏洞安全防御 文章标签: java javaWeb 文件上传与下载 文件上传漏洞安全防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013110682/article/details/79918728
版权

1、实现文件上传与下载

   a、保证服务器的安全

把保存上传文件的目录放在用户直接访问不到的地方。

   b、避免文件被覆盖

让文件名唯一即可

   c、避免同一个文件夹中的文件过多

方案一:按照日期进行打散存储目录

方案二:用文件名的hashCode计算打散的存储目录:二级目录

   d、限制文件的大小:web方式不适合上传大的文件

单个文件大小:

ServletFileUpload.setFileSizeMax(字节)

总文件大小:(多文件上传)

ServletFileUpload.setSizeMax(字节)

 

e、上传字段用户没有上传的问题

通过判断文件名是否为空即可

f、临时文件的问题

DiskFileItemFactory:

作用:产生FileItem对象

内部有一个缓存,缓存大小默认是10Kb。如果上传的文件超过10Kb,用磁盘作为缓存。

存放缓存文件的目录在哪里?默认是系统的临时目录。

 

如果自己用IO流实现的文件上传,要在流关闭后,清理临时文件。

FileItem.delete();

 1、首先要准备一下需要用到的jar包。 

最低0.47元/天 解锁文章
菊厂程序猿
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 文件上传漏洞_文件上传漏洞(File Upload)
weixin_40008566的博客
02-16 3972
简介File Upload,即文件上传漏洞,通常是由于对用户上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马,病毒,恶意脚本等获取服务器的webshell权限,并进而攻击控制服务器,因此文件上传漏洞带来的危害常常是毁灭性的。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。例如,如果你的服务器为php环境,用户上传了一个php一句话木马...
java 文件上传漏洞_文件上传漏洞(绕过姿势)
weixin_33315077的博客
02-16 4504
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。(根据个人经验总结,欢迎补充纠错~~)文件上传校验姿...
关于MD5,你不得不知道的概念
最新发布
一捌柒的博客
06-11 647
MD5是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致;我们知道md5基于密码散列函数,他是散列函数的一种,而散列函数的有几个特点,决定了md5的特性;1、单向性:密码散列函数是一种单向函数,所以使得很难进行反推出原来的数据是什么。这种单向性使得它在存储密码等敏感信息就很受用;2、固定输出长度:不论输入大小如何,密码散列函数都生成相同长度的输出。例如,MD5算法的输出是128位(通常以32个十六进制数字表示)。3、雪崩效应。
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2005
web常见安全漏洞以及修复建议
文件上传漏洞:getshell的最好方式,我们如何防御
李熠专用博客_白帽子一枚,人称低危终结者
09-09 2956
我相信,你在开发Web应用时,后端一定会提供文件的上传功能,比如前端页面肯定有图片的展示,后端必定会提供图片的上传入口。但是,你在做文件上传功能时,是否考虑过它的安全性问题呢? 请看下面的代码: @PostMapping("upload") public String upload(@RequestParam("file")MultipartFile file,HttpServletRequest request)throws Exception{ String filename = fil.
文件上传漏洞
Enya1122的博客
02-04 1014
文件上传漏洞基础知识
JavaWeb实现文件上传下载实例详解
09-02
JavaWeb应用开发中,文件上传下载是不可或缺的功能,特别是在构建交互性强的Web系统时。本篇文章将详细讲解如何使用JavaWeb实现文件上传下载的实例。 首先,我们来看文件上传的实现过程。文件上传通常涉及到...
JavaWeb文件上传下载功能解析
09-02
JavaWeb文件上传下载是Web应用中常见的功能,主要用于处理用户在网页上提交的文件,例如图片、文档等。在本文中,我们将深入探讨这两个重要的话题。 首先,要实现文件上传,我们需要确保满足以下三个基本条件: ...
JavaWeb实现文件上传下载的方法
09-02
总的来说,JavaWeb中的文件上传下载是通过结合前端表单提交和后端Servlet处理来实现的。Apache Commons-Fileupload库提供了便捷的工具,使得文件上传的处理变得更加容易。而文件下载则主要依赖于Servlet的响应流...
JavaWeb中上传和下载文件实例代码
08-30
文件上传过程中,需要注意安全问题,例如文件类型限制、文件大小限制、权限控制等,以免出现安全漏洞JavaWeb文件上传下载的实例代码可以应用于各种场景,例如: 1. 文件共享:用户可以上传文件到服务器...
javaweb简单实现文件上传下载源代码
09-18
JavaWeb开发中,文件上传下载是常见的功能需求,特别是在构建交互性强的Web应用时。本源代码示例提供了一个简单的实现,帮助开发者理解如何处理这些操作。下面将详细解释涉及的技术点。 1. **文件上传** - **...
java-web文件上传下载,可解决多个安全访问问题
01-06
文件上传下载,可解决多个安全访问问题。 文件上传的细节: 1. 为保证服务器安全,上传文件应该放在外界无法直接访问的目录下,比如放于WEB-INF目录下。 2. 为防止文件覆盖的现象发生,要为上传文件产生一个唯一的文件名。 3. 为防止一个目录下面出现太多文件,要使用hash算法打散存储。 4. 要限制上传文件的最大值。 5. 要限制上传文件的类型,在收到上传文件名时,判断后缀名是否合法。 博客:http://blog.csdn.net/qq_37902949/article/details/78986446
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
Java防止文件篡改之文件校验和
JavaBuilt的博客
03-16 8599
Java防止文件被篡改之文件校验和 转载:请注明出处,谢谢! 1.为什么要防止文件被篡改? 答案是显然的,为了保证版权,系统安全性等。之前公司开发一个系统,技术核心是一个科学院院士的研究成果,作为一款商业软件来说,保证公司及作者版权是非常重要的。系统安全性就更不用说了,系统两三下就被搞垮了,那这个系统就不算是一个合格的系统。 2.文件校验和作用 我们都知道,一个系统...
java 文件下载漏洞,文件上传下载漏洞
weixin_36327991的博客
03-10 1180
一、文件下载漏洞1.需要寻找文件下载的路径进行构造一般链接形式:download.php?path=down.php?file=data.php?file=download.php?filename=一般参数形式:&Src=&Inputfile=&Filepath=&Path=&Data=2.我们的利用思路2.1 下载常规的配置文件--ssh,weblogi...
文件下载触发的DDE注入
一杯咖啡的渗透记忆
11-16 1198
目录 一、定义 二、原理 三、危害 四、修复 一、定义 DDE注入 动态数据交换(DDE),全称DynamicData Exchange,是Windows下进程间通信协议,支持Microsoft Excel,LibreOffice和Apache OpenOffice。Excel、Word、Rtf、Outlook都可以使用这种机制,根据外部应用的处理结果来更新内容。因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用。 二、原理 Excel解析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值