Springboot 文件上传安全校验

已于 2023-08-01 11:13:38 修改
阅读量1k 收藏 2
点赞数 1
文章标签: 安全
于 2023-08-01 11:03:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojie_std/article/details/132037744
版权

应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。

校验的方法主要有:后缀名校验,文件头校验,若为图片可加透明的水印【暂未实现】

直接上代码

final static HashMap<String, String> fileHeadMap = new HashMap<>(); // 初始化文件头类型,不够的自行补充

final static int DEFAULT_CHECK_LENGTH = 3;

static {
        fileHeadMap.put("jpg", "ffd8ff");         

    fileHeadMap.put("jpeg", "ffd8ff");
        fileHeadMap.put("png", "89504e");
        fileHeadMap.put("gif", "474946");
        fileHeadMap.put("tif", "49492a");
        fileHeadMap.put("bmp", "424d22");
        fileHeadMap.put("dwg", "414331");
        fileHeadMap.put("html", "3c2144");
        fileHeadMap.put("htm", "3c2164");
        fileHeadMap.put("css", "48544d");
        fileHeadMap.put("js", "696b2e");
        fileHeadMap.put("rtf", "7b5c72");
        fileHeadMap.put("psd", "384250");
        fileHeadMap.put("eml", "46726f");
        fileHeadMap.put("mdb", "537461");
        fileHeadMap.put("ps", "252150");
        fileHeadMap.put("pdf", "255044");
        fileHeadMap.put("rmvb", "2e524d");
        fileHeadMap.put("flv", "464c56");
        fileHeadMap.put("mp4", "000000");
        fileHeadMap.put("mp3", "494433");
        fileHeadMap.put("mpg", "000001");
        fileHeadMap.put("wmv", "3026b2");
        fileHeadMap.put("mid", "4d5468");
        fileHeadMap.put("zip", "504b03");
        fileHeadMap.put("rar", "526172");
        fileHeadMap.put("ini", "235468");
        fileHeadMap.put("exe", "4d5a90");
        fileHeadMap.put("jsp", "3c2540");
        fileHeadMap.put("mf", "4d616e");
        fileHeadMap.put("xml", "3c3f78");
        fileHeadMap.put("sql", "494e53");
        fileHeadMap.put("java", "706163");
        fileHeadMap.put("bat", "406563");
        fileHeadMap.put("gz", "1f8b08");
        fileHeadMap.put("properties", "6c6f67");
        fileHeadMap.put("class", "cafeba");
        fileHeadMap.put("chm", "495453");
        fileHeadMap.put("mxp", "040000");
        fileHeadMap.put("doc", "d0cf11");
        fileHeadMap.put("docx", "504b03");
}

/**
* 通过文件头魔数获取文件类型
* @param inputStream 文件流
* @return 返回文件头
*/
public static String getFileTypeByMagicNumber(InputStream inputStream) {
        byte[] bytes = new byte[DEFAULT_CHECK_LENGTH];
        try { // 获取文件头前三位魔数的二进制
                inputStream.read(bytes, 0, bytes.length); // 文件头前三位魔数二进制转为16进制
                String code = bytesToHexString(bytes);
                log.info("文件头:{}", code);
                return code;
        } catch (IOException e) {
                log.error("获取文件头失败:{}", e.getMessage());
                e.printStackTrace();
        }
        return "";
}

/**
* 字节数组转为16进制
* @param bytes 字节数组
* @return 返回字符串
*/
public static String bytesToHexString(byte[] bytes) {
StringBuilder stringBuilder = new StringBuilder();
for (int i = 0; i < bytes.length; i++) {
int v = bytes[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
return stringBuilder.toString();
}

/**
* 通过文件名获取文件后缀名
* @param fileName 文件名
* @return 文件后缀名
*/
public static String getFileTypeBySuffix(String fileName) {
if (StringUtils.isBlank(fileName)) {
return "";
}
int lastIndex = fileName.lastIndexOf(".");
if (lastIndex == -1) {
return "";
}
return fileName.substring(lastIndex + 1, fileName.length());
}

xiaojie_std
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring boot 文件上传实例
11-01
上传文件是互联网中常常应用的场景之一,最典型的情况就是上传头像等,今天就带着带着大家做一个Spring Boot上传文件的小案例。
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
SpringBoot 文件上传控制及 Java 获取和判断文件头信息 标题解析 本文的标题“SpringBoot 文件上传控制及 Java 获取和判断文件头信息”主要介绍了 Spring Boot 文件上传控制相关的知识点,涉及到文件上传控制、Java...
[文件上传工具类] MultipartFile 统一校验
pingzhuyan的博客
01-30 4226
[文件上传工具类] MultipartFile 统一校验。 功能包含: -> 1. 多文件上传校验 -> 2. 文件名字校验(特殊符号) -> 3. 文件后缀校验
实战 - 文件上传功能:校验文件类型,文件大小,获取文件真实类型
你今天真好看呀
11-24 1万+
① 定义允许上传的附件类型: attachment: file: maxSize: 10 types: jpeg: FFD8FF jpg: FFD8FF bmp: 424D png: 89504E47 rtf: 7B5C727466 txt: 75736167 pdf: 255044462D312E doc: D0CF11E0 docx: 504B030414 ② 读取appli
SpringBoot项目文件上传校验(注解版)
最新发布
刘大辉的博客
05-28 402
要实现了一个文件上传和验证的功能,具有以下特点:1. 自定义注解:`FileValidation`注解用于标记需要进行文件验证的方法。2. 文件验证拦截器:`FileValidationInterceptor`拦截器会在每个请求处理之前被调用。如果请求处理的方法上有`FileValidation`注解,那么拦截器会获取请求中的文件,并进行验证。3. 文件验证:文件验证的逻辑在`FileValidationUtils`的`validateFile`方法中实现。这个方法会检查文件的MIME类型和文件扩展名是否匹
文件上传漏洞
金色%夕阳的博客
04-29 2281
文件上传漏洞 1. 文件上传功能 文件上传功能是大部分WEB应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。 2. 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。通常是因web应用程序没有对上传的文件进行安全判断或者判断条件不够严谨,
springboot读取上传的文件
weixin_43830765的博客
06-27 3443
Springboot文件上传与读取
SpringBoot 上传文件判空以及格式检验
weixin_43931248的博客
12-17 1985
基于jsr303 通过自定义注解实现,判断 后台接口接收MultipartFile 文件参数时进行判空以及格式校验
Java:SpringBoot实现文件上传和访问
彭世瑜的博客
07-16 3213
后端上传代码如下 package com.mouday.demo.controller; import org.springframework.stereotype.Controller; import org.springframework.util.ResourceUtils; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMap
文件上传验证绕过技术总结
热门推荐
ncafei的博客
11-29 5万+
转自  http://www.2cto.com/article/201308/233831.html  1.客户端验证绕过 很简单啦,直接使用webscarab或者burp修改一下后缀名就行。 2.服务端验证绕过-Content-type检测 若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content
vue+springboot文件上传
01-23
在大文件上传方面,SpringBoot 提供了支持文件上传的API,我们可以利用这些API来处理文件接收和存储。 ### 分片上传 大文件分片上传是一种优化策略,通过将大文件拆分为多个小块(片段)进行上传,然后在服务器端...
SpringBoot实现文件上传和下载功能源码
12-10
SpringBoot框架中,文件上传和下载是常见的需求,尤其在构建Web应用时。SpringBoot提供了便捷的MVC(Model-View-Controller)支持,使得处理文件上传和下载变得非常简单。下面我们将深入探讨如何利用SpringBoot...
webuploader + springboot实现大文件的上传下载
10-21
3. **事件监听**:监听`beforeUpload`、`uploadSuccess`、`uploadError`等事件,处理文件上传前的校验、上传过程中的状态更新以及上传成功或失败的回调。 4. **断点续传**:`WebUploader`不直接支持断点续传,但你...
springboot以FTP方式上传文件到远程服务器的流程
08-25
我们可以使用 Spring Boot 的 FTP 客户端来实现文件上传。 首先,我们需要添加 FTP 依赖项到我们的项目中: <groupId>org.apache.commons.net <artifactId>commons-net</artifactId> 然后,我们可以编写一个 ...
php上传文件安全校验,php – 安全文件上传并验证它
weixin_33451125的博客
03-23 568
我收到视频上传和图片上传:我的环境:LAMP编辑:我将允许远程上传和POST视频上传EDIT2:我得到的文件将被重命名,我不会存储原始文件名.>首先我用$_FILES检查mime类型.>其次我再次使用finfo_file(如果函数存在)检查mimetype(PHP 5.3)或shell命令文件.>如果文件通过了上述检查,则文件将被移动到公共目录.我的问题是这个设置安全吗?或者我能...
SpringBoot中 判断上传的文件类型 MultipartFile file
paohui001lqp的博客
01-28 1万+
最新项目中有遇到 对于上传文件类型的判断 我们需要上传的文件是 excel类型的 原来我的做法很简单 就是 获取文件名然后去判断 后缀名是否是 .xls 或者是 .xlsx 类型 //判断文件类型是否正确 String originalFilename = file.getOriginalFilename(); String fileType = originalFilename.substring(originalFilename.last...
SpringBoot 文件上传 基于MD5 文件内容校验工具类
zhouzhiwengang的专栏
10-09 2560
1、业务场景:实现文件上传功能时。我们需要校验上传文件在传输过程中是否被注入脚本或者是被修改,所有采用md5 算法+ 文件内容生成一个识别码,传递给后端,让后端判断文件是否发生修改或变更。 import java.io.File; import java.io.IOException; import java.io.InputStream; import java.nio.file.Files...
SpringBoot导入文件格式校验
qq_40617729的博客
05-14 1528
1.SpringBoot 导入EXCEL时格式校验 1.做EXCEL导入的时候,对于文件格式校验 //前端将文件上传到服务器,前端返回给我的文件地址 String filePath = jsonObject.getString("filePath"); //将得到的文件地址字符串截取最后4位并且将格式转换成小写 String filePaths = filePath.substring(filePath.length()-4).toLowerCase(); if (!file
springboot 文件上传下载依赖
10-31
SpringBoot文件上传和下载需要引入以下依赖: 1. spring-boot-starter-web:web应用程序开发的基础依赖。 2. spring-boot-starter-thymeleaf:用于渲染HTML模板的依赖。 3. spring-boot-starter-tomcat:内嵌Tomcat服务器的依赖。 4. spring-boot-starter-validation:用于数据校验的依赖。 5. spring-boot-devtools:开发工具,提供了自动重启等功能。 同时,如果需要使用文件上传和下载功能,还需要引入以下依赖: 1. spring-boot-starter-web:web应用程序开发的基础依赖。 2. spring-boot-starter-tomcat:内嵌Tomcat服务器的依赖。 3. spring-boot-starter-validation:用于数据校验的依赖。 4. spring-boot-starter-thymeleaf:用于渲染HTML模板的依赖。 5. spring-boot-starter-data-jpa:用于操作数据库的依赖。 6. spring-boot-starter-data-rest:用于构建RESTful API的依赖。 7. spring-boot-starter-test:用于测试的依赖。 以上是常用的依赖,具体使用时可以根据实际情况进行选择和添加。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值