ASP.NET杜绝文件上传漏洞的代码(通过检测文件的头部编码)

最新推荐文章于 2023-03-28 11:42:51 发布
最新推荐文章于 2023-03-28 11:42:51 发布
阅读量268 收藏
点赞数
文章标签: ui xhtml
原文链接:http://www.cnblogs.com/jone_linux/archive/2009/09/15/1566721.html
版权
检测文件的头部编码,不同类型文件的头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar...这篇文章代码多有参考网络,特此说明.
ContractedBlock.gif ExpandedBlockStart.gif Code
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>无标题页</title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:FileUpload ID="FileUpload1" runat="server" />
<asp:Button ID="btn_upload" runat="server" OnClick="btn_upload_Click" Text="上传" />
</div>
</form>
</body>
</html>
可以实现真正意义上的文件类型判断,推荐使用这种方法.
ContractedBlock.gif ExpandedBlockStart.gif Code
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;

    public partial class _Default : System.Web.UI.Page 
    {
       protected void Page_Load(object sender, EventArgs e)
       {
    
       }
       protected void btn_upload_Click(object sender, EventArgs e)
       {
         try
         {
            //判断是否已经选取文件
            if (FileUpload1.HasFile)
            {
               if (IsAllowedExtension(FileUpload1))
               {
                   string path = Server.MapPath("~/images/");
                   FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
                   Response.Write("<script>alert(’上传成功’);</script>");
                }
                else
               {
                   Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");
                }
            }
            else
            {
                Response.Write("<script>alert(’你还没有选择文件’);</script>");
            }
        }
        catch (Exception error)
        {
           Response.Write(error.ToString());
        }
    }
//真正判断文件类型的关键函数
    public static bool IsAllowedExtension(FileUpload hifile)
    {
        System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
        System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
        string fileclass = "";
        byte buffer;
        try
        {
            buffer = r.ReadByte();
            fileclass = buffer.ToString();
            buffer = r.ReadByte();
            fileclass += buffer.ToString();    
        }
        catch
        {}
        r.Close();
        fs.Close();
        if (fileclass == "255216" || fileclass == "7173")
        //说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
        {
            return true;
        }
        else
        {
            return false;
        }    
    }
}
这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序,而从文件的根源判断,即使文件路径为虚假,但文件的编码是不好改变

转载于:https://www.cnblogs.com/jone_linux/archive/2009/09/15/1566721.html

weixin_30642869
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET通过byte正确安全的判断上传文件格式
01-02
ASP.NET中在判断文件格式时,我们以前常用的方法就是通过截取扩展名来做判断,或者通过ContentType (MIME) 判断,这两种方法都不太安全,因为这两种方式用户都可以伪造,从而达可以攻击网站,实现给网站挂马等目的。 下面介绍通过byte获取文件类型,来做判断的方式 if (Request.Files.Count > 0) { //这里只测试上传第一张图片file[0] HttpPostedFile file0 = Request.Files[0]; //转换成byte,读取图片MIME类型 Stream stream; //int contentLength
asp.net文件上传文件删除的代码
10-30
在本文中,我们将详细介绍如何在 ASP.NET 中实现文件上传和删除,并提供相应的代码示例。 文件上传ASP.NET 中,文件上传可以通过使用 `HttpPostedFile` 对象来实现。`HttpPostedFile` 对象提供了一个 `...
利用上载漏洞,攻击asp.net 网站
weixin_34376562的博客
08-21 144
为什么80%的码农都做不了架构师?>>> ...
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
weixin_42075643的博客
03-28 3796
文件上传绕过总结;编辑器文件上传;渗透测试记录
asp.net(c#)上传文件检测文件类型方法小结
半亩方塘
09-18 4789
上传文件检测类型到目前为止我只看到过两种,第一种是检测文件的后缀名;第二种是检测文件头部编码,不同类型文件头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar...这篇文章代码多有参考网络,特此说明.前台文件:两种方法的前台文件是一样的.http://www
asp.net窗体验证123
weixin_33835103的博客
06-08 167
ASP.NET几种安全验证方法 如何运用 Form 表单认证 ASP.NET 的安全认证,共有“Windows”“Form”“Passport”“None”四种验证模式。“Windows”与“None”没有起到保护的作用,不推荐使用;“Passport”我又没用过,唉……所以我只好讲讲“Form”认证了。我打算分三部分: 第一部分 —— 怎样实现From 认证; 第二部分 —— Form 认证的...
Asp.Net超大文件上传问题解决
01-21
最近涉及到用asp.net做上传功能的一个问题,因为asp.net有fileupload的上传控件,但是这个控件上传的文件大小有限,所以根本满足不了需求百度了下,很多人遇到asp.net上传超大文件的困惑,偶尔搜索发现csdn有个哥们...
asp.net文件上传解决方案实例代码
01-02
ASP.NET Core WebAPI 作后端 API ,用 Vue 构建前端页面,用 Axios 从前端访问后端 API ,包括文件的上传和下载。 准备文件上传的API #region 文件上传 可以带参数 [HttpPost(upload)] public JsonResult ...
ASP.NET Core文件上传与下载实例(多种上传方式)
01-20
1.使用模型绑定上传文件(官方例子) 官方机器翻译的地址:https://docs.microsoft.com/en-us/aspnet/core/mvc/models/file-uploads 这里吐槽一下 – -,这TM的机器翻译..还不如自己看E文的.. 首先我们需要创建一个form...
ASP.NET(C#)上传图片时防止木马的有效策略
m0_55208453的博客
12-02 198
internet上搜了一下别人的解决方案。不少人说用MIME来判断。自己也试了一下,如果用.NET的上传组件,确实可以。但如果用HTML基本的上传组件却不行(我是在HTML页中有上传组件,POST到后台另外的页面)。于是自己写了一段代码来检查上传文件是否真是图片文件。前面两步检查属初级检查(当然,在前台用JS作了客户端的扩展名检查),如果通过再使用图片类检查,如果是真是图片 就能通过,否则不行(...
ASP.NET 上传程序(支持上传类型选择)防漏洞(c#)
06-04
ASP.NET 上传程序(支持上传类型选择)防漏洞(c#)
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
ASP.NET在上传文件时对文件类型的高级判断的代码
10-29
在上传文件过程中,可以通过修改扩展名来逃过文件类型的判断并实现上传,就需要可以验证究竟是什么文件。下面的代码大家可以测试下。
javascript在Asp.net验证上传文件文件类型的
weixin_33800463的博客
01-08 129
&lt;%@ Page Language="C#" MasterPageFile="~/VQPMaster.master" AutoEventWireup="true" CodeFile="importQuotation.aspx.cs" Inherits="ImportExcel_importQuotation" Title="Untitled Page" %&gt;
ASP.NET安全验证
小黑马的编程博客
04-13 489
一、为什么要用安全验证,使用安全验证有什么好处。   构造特殊的链接地址,导致文件内的数据泄露 数据库泄露 安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键 二、安全验证有哪几种? 如果资源请求一个ASP页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP.NET,接下来发生的事情就取决于ASP.NET的配置   目前ASP....
文件上传漏洞
weixin_54330542的博客
09-26 1345
那么chr(0)就很好理解了,对照ASCII码表可以知道,ASCII码为0-127的数字,每个数字对应一个字符,而0对应的就是NUT字符(NULL),也就是空字符,而截断的关键就是这个空字符,当一个字符串中存在空字符的时候,在被解析的时候会导致空字符后面的字符被丢弃。直接看源码,明显看出此时的代码是白名单上传,只允许jpg,png,gif这3种后缀上传,那之前的什么大小写绕过,复写绕过,.htaccess文件上传等方式都无效了。文件头是文件开头的一段二进制,不同的图片类型,文件头是不同的。
ASP.NET杜绝文件上传漏洞代码
天晴雨的专栏
09-17 2008
检测文件头部编码,不同类型文件头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rarhttp://www.w3.org/1999/xhtml" >无标题页可以实现真正意义上的文件类型判断,推荐使用这种方法.using System;using System.Data;us
ASP.NET常用方法
10-26
本文将重点介绍ASP.NET中的文件上传和下载方法,并提供了一个附件下载的示例方法。 ASP.NET提供了一系列的方法来处理文件上传。通过使用FileUpload控件,开发人员可以轻松地实现文件上传功能。FileUpload控件允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值