java过滤器获取上传的文件_【上传专题】服务器端过滤及其绕过方式

最新推荐文章于 2023-04-16 20:51:05 发布
最新推荐文章于 2023-04-16 20:51:05 发布
阅读量1k 收藏
点赞数
文章标签: java过滤器获取上传的文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35070925/article/details/114525099
版权
本文介绍了Java服务器端文件上传时的过滤方法,包括Content-Type检测、文件扩展名检测和文件头检测,分析了各种过滤方式的隐患,并提出了文件加载检测的重要性,强调了安全的上传机制。
摘要由CSDN通过智能技术生成

上一篇文章,讲述了如何绕过前端文件类型。

1、引言

这一篇讲述一些常见的服务端过滤方式,以及各种过滤方式存在的隐患。并给出怎样处理服务端和前端过滤,以达到更加安全的上传机制。

2、本文大纲

1)Content-Type(Mime Type)检测过滤,以及如何绕过;

2)文件扩展名检测;

3)文件头检测;

4)文件加载检测。

3、Content-Type 检测过滤

按照正常的上传方式,会根据上传的文件类型,指定Content-Type类型,例如:jpg文件对应的Content-Type是p_w_picpath/jpeg;

见下例:package com.fileupload.servlets;

import java.io.File;

import java.io.IOException;

import java.io.PrintWriter;

import java.util.List;

import javax.servlet.ServletContext;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.fileupload.FileItem;

import org.apache.commons.fileupload.FileUploadException;

import org.apache.commons.fileupload.disk.DiskFileItemFactory;

import org.apache.commons.fileupload.servlet.ServletFileUpload;

public class UploadFilterExtServlet extends HttpServlet {

public void doPost(HttpServletRequest request, HttpServletResponse response)

throws ServletException, IOException {

if (!ServletFileUpload.isMultipartContent(request)) {

response.getWriter().print("NOT MultiPart Request");

return;

}

String webPath = this.getServletContext().getRealPath("");

DiskFileItemFactory factory = new DiskFileItemFactory();

factory.setSizeThreshold(1024 * 1024);

factory.setRepository(new File(webPath + File.separator + "tmp")); // 临时仓库

ServletFileUpload fileUpload = new ServletFileUpload(factory);

fileUpload.setFileSizeMax(1024 * 1024 * 5);

fileUpload.setSizeMax(1024 * 1024 * 6);

fileUpload.setHeaderEncoding("utf-8");

try {

List fileItems = fileUpload.parseRequest(request);

for (FileItem fileItem : fileItems) {

String fieldName = fileItem.getFieldName();  // 字段名称

String name = fileItem.getName();                      // 如果是表单字段,那么为空;否则为文件名

String contentType = fileItem.getContentType(); // 获取上传文件的Content-Type类型

if (!fileItem.isFormField()) { // 非表单字段,即上传文件

File file = new File(webPath + File.separator + "upImage" + File.separator + name);

if (!file.getParentFile().exists()) {

file.mkdir();

}

if (contentType.equalsIgnoreCase("p_w_picpath/jpeg")) {

fileItem.write(file);

}else {

if (file.exists() &&  file.isFile()) {

fileItem.delete();

response.getWriter().print("Invalid File.");

}

}

}

}

} catch (FileUploadException e) {

e.printStackTrace();

} catch (Exception e) {

e.printStackTrace();

}

}

}

cdeac9badaac03a8d68c78083c717e15.png

在修改Content-Type之后,服务端将认为此次上传是合法,因此也就绕过了Content-Type的限制。

4、文件扩展名检测

如果在java中使用文件扩展名,并不存在0x00截断的问题,但是如果是asp那么会出现0x00文件截断问题,例如:上传test.txt.jpg 将.修改为0x00,那么系统会认为test.txt才是其文件名称,具体这里不做介绍,但是作为一种相对简单还是有一定效果的检测方式,文件扩展名检测一般是必须的。但是并不代表其是种安全的依靠。

简单而言,我们可以修改文件名以jpg后缀即可,也就可以上传非法文件了。if (contentType.endsWith("jpg")) { // 将3中代码,判断content-type修改为判断jpg后缀

fileItem.write(file);

}

如下图:

533c023478da47e5191578ae5d840892.png

那么同样可以上传非图片的文件,可能你会认为上传在服务器上的该文件,已经命名为jpg文件,顶多无法显示,如果你这样想就大错特错,因为可以将非法的脚本嵌入到文件中。并且文件名扩展的检测一般使用白名单比较好,因为黑名单难免会有遗漏,一旦遗漏了,也可能会有致命的问题。

5、文件头检测

通常一个文件会有一种标识,即表明该文件的类型。因此采用4中的方式上传一个txt文件,虽然其绕过了后缀名的检测,但是此时我们可以对该文件进行检测,初步判定该文件是否是jpg文件,也就是通过文件头来判定。

文件头一般是一个文件的开头字节内容,如下代码,展示java获取文件头的方式:package com.fileupload.types;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

import java.util.HashMap;

import java.util.Map;

import org.apache.commons.codec.binary.Hex;

/**

*  判断文件头类型是否合法

* @author wangzp

*

*/

public class FileType {

public final static String JPG = "FFD8FF";

public final static String PNG = "89504E47";

public final static String GIF = "47494638";

public final static String BMP = "424D";

public final static Map fileTypes = new HashMap();

static {

fileTypes.put("jpg", JPG);

fileTypes.put("png", PNG);

fileTypes.put("gif", GIF);

fileTypes.put("bmp", BMP);

}

/**

* 获取文件头

* @param filepath

* @return

* @throws IOException

*/

public static String getFileHeader(File file) throws IOException {

FileInputStream input = new FileInputStream(file);

byte[] buffer = new byte[4];

input.read(buffer, 0, buffer.length);

input.close();

return new String(Hex.encodeHex(buffer));

}

/**

* 验证文件头类型是否合法

* @param fileType

* @param file

* @return

* @throws IOException

*/

public static boolean isValidFile(String fileType, File file) throws IOException {

String fileHeader = getFileHeader(file);

String fileTypeHeader = fileTypes.get(fileType);

if (fileHeader == null || fileTypeHeader == null) {

return false;

}

if (fileHeader.startsWith(fileTypeHeader)) {

return true;

}

return false;

}

}

由此,我们可以在上传之后判断该文件是否是合法文件,如下代码展示:if (name.endsWith("jpg")) {

fileItem.write(file);

if (!FileType.isValidFile("jpg", file)) {

//fileItem.delete();

file.delete();

return;

}else {

response.getWriter().print("Invalid File Header.");

return;

}

}

代码有点粗糙,但基本可以展示出使用test.txt伪装的jpg文件,是无法上传成功的;但是这不是绝对的,因此可以在图片中加入虚假的文件头。那么面对这种情况,该如何解决呢?接下来将使用文件加载检测。

6、文件加载检测

文件加载实际上是对文件的预览方式,可以分为一次渲染和二次渲染;一般而言二次渲染后的图片很难攻入,很难在图片中嵌入代码,因此个人建议使用二次渲染,至少应该一次渲染,如果渲染失败,可以认为该文件是非法文件。不让其上传。

在本文中,不介绍文件加载检测过程,将在后续文章中介绍图片渲染的方法。

安慰记店长
关注
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1569
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
WEB渗透学习笔记7——webshell及上传绕过
林林木林林L的博客
08-01 3346
webshell 概念 web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,WebShell是一种用来进行网站和服务器管理的脚本程序,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,攻击者通过上传WebShell获得Web服
探寻 Java 文件上传流量层面 waf 绕过
YYniannian的博客
07-13 381
无意中看到ch1ng师傅的文章觉得很有趣,不得不感叹师傅太厉害了,但我一看那长篇的函数总觉得会有更骚的东西,所幸还真的有,借此机会就发出来一探究竟,同时也不得不感慨下RFC文档的妙处,当然本文针对的技术也仅仅只是在流量层面上waf的绕过...
使用过滤器获取系统目录或文件名(java.io)
weixin_30600503的博客
12-17 166
import java.io.File;import java.io.FilenameFilter; File[] file = new File("D:\\"); //使用File数组通过过滤器获取文件文件夹,可在过滤器中判断获取条件File[] fileArray = srcFolder.listFiles(new FilenameFilter() {   @Override   ...
java file操作 过滤文件过滤文件类型
最新发布
Rockandrollman的博客
04-16 779
【代码】java file操作 过滤文件过滤文件类型。
java 文件上传漏洞_文件上传漏洞(绕过姿势)
weixin_33315077的博客
02-16 4643
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。(根据个人经验总结,欢迎补充纠错~~)文件上传校验姿...
Flex中实现文件上传时的类型过滤
JavaMan
08-04 4876
FileFilter 类用于指示在调用 FileReference.browse() 方法、FileReferenceList.browse() 方法或调用 File、FileReference 或 FileReferenceList 对象的 browse 方法时显示的文件浏览对
HTML input file控件限制上传文件类型_动力节点Java学院整理
09-28
另一方面,服务器端的验证是至关重要的,因为客户端的验证可以被绕过。在用户提交文件后,服务器应该再次检查文件类型,确保上传文件符合预期。这通常涉及到读取上传文件的头部信息,解析其MIME类型,然后与预设的...
文件上传漏洞-03】服务器端检测与绕过靶场实战
cc
02-15 4847
服务器端检测验证类别:MIME类型:它的验证比较脆弱,因为MIME类型客户端可以自定义;白名单策略就是允许上传的类型文件后缀名检测:采取策略就是黑白名单策略,黑名单策略就是不允许上传的类型;对于黑名单策略的绕过,我们可以寻找一些其他可允许上传的类型,就是未在黑名单中出现的一些,对于采取白名单策略,我们只能上传白名单内的后缀名,上传完成之后,我们需要配合其他漏洞进行触发。
java服务器端解决跨域问题共6页.pdf.zip
10-30
Java服务器端解决跨域问题是一项常见的任务,尤其是在开发Web应用时。跨域是由于浏览器的安全策略,即同源策略(Same-Origin Policy)所引发的。同源策略限制了JavaScript只能与相同协议、相同主机和相同端口的资源...
上传文件过滤文件格式多文件上传
07-30
都是我从不同网站上辛苦下下来了,整合在一起了,很多关于文件上传过滤文件格式多文件上传的代码资料和完整项目,包括uploadify fancyupload SwfUpload等不同的方法,需要对你们有帮助。
java中如何使用过滤器过滤指定格式的文件
10-24
使用java过滤器过滤掉目录文件和非.txt文件,并输出结果。
探寻Java文件上传流量层面waf绕过
include_voidmain的博客
07-28 735
探寻Java文件上传流量层面waf绕过
Java文件上传大杀器-绕waf(针对commons-fileupload组件)
Y4tacker的博客
02-25 2683
Java文件上传大杀器-绕waf(针对commons-fileupload组件) 来个中二的标题,哈哈哈,灵感来源于昨晚赛博群有个师傅@我是killer发了篇新文章,在那篇文章当中提到了在filename="1.jsp"的filename字符左右可以加上一些空白字符%20 %09 %0a %0b %0c %0d %1c %1d %1e %1f,比如%20filename%0a="1.jsp"(直接用url编码为了区别)这样导致waf匹配不到我们上传⽂件 名,⽽我们上传依然可以解析,我对次进行了更深入的研究,
java 文件上传过滤器_JavaWeb之最简洁的配置实现文件上传
weixin_32286189的博客
03-07 544
按:最近公众号文章主要是整理一些老文章,主要是个人CSDN上的博客,也会穿插一些新的技术点。Spring、SpringMVC持续介绍中,基础配置前面已经介绍了很多,如果小伙伴们还不熟悉可以参考前面几篇博客。OK ,那么这里我想说另外一个话题,那就是文件上传,我之前在做Android开发的时候,文件上传我们一般会有两种策略,一种是通过IO流上传,还有一种是通过表单上传,其实这两种在客户端实现起来都是...
JavaWeb之filter&listener&文件上传
tysearch的博客
05-26 631
JavaWeb之filter&listener&文件上传一、filter1.1 过滤器的基本概述:1.2 过滤器快速使用1.2.1 编码步骤1.2.2 Filter配置1.2.3 Filter执行过程1.3 Filter的生命周期1.4 拦截方式配置1.5 Filter与servlet的区别二、监听器——Listener2.1 Listener概述三、文件上传3.1 文件上传概述3.2 常见的文件上传技术3.3 文件上传浏览器前提3.4 使用commons-fileupload方式上传3.5
Java 文件过滤 FileFilter
热门推荐
xiangyong2008的专栏
09-21 2万+
<br />1.写一个类继承与FileFilter<br />package com.dream.musicplayer; import java.io.File; import java.io.FileFilter; public class MP3FileFilter implements FileFilter { @Override public boolean accept(File file) { // TODO Auto-generated method stub
java 文件上传漏洞_Web安全 - 文件上传漏洞
weixin_42548816的博客
02-16 1105
File Upload一、原理一些web应用程序中允许上传图片,文本或者其他资源到指定的位置。文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中,再通过URL去访问以执行恶意代码。二、检测与绕过客户端检测(Javascript检测)在网页上写一段Javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。绕过方法:1.直接禁用Javascri...
探寻Java文件上传流量层面waf绕过姿势系列二
jjc4261的博客
06-24 284
灵活的parseQuotedToken继续看看这个解析value的函数,它有两个终止条件,一个是走到最后一个字符,另一个是遇到 如果我们能灵活控制终止条件,那么waf引擎在此基础上还能不能继续准确识别呢? 如果你理解了上面的代码你就能构造出下面的例子同时我们知道jsp如果带 符号也是可以访问到的,因此我们还可以构造出这样的例子还能更复杂点么,当然可以的结合这里的 ,以及上篇文章当中提到的 中对出现 后参数的转化操作,这时候如果waf检测引擎当中是以最近 作为一对闭合的匹配,那么waf检测引擎可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值