美文网首页
正确的图片上传处理

正确的图片上传处理

作者: Daved | 来源:发表于2017-11-18 23:45 被阅读58次

图片上传是我们在日常开发中一个常见的需求,借助于现有框架,如:SpringMVC可以很容的实现,示例代码如下所示。

@RequestMapping(value = "/uploadImg", method = RequestMethod.POST)
public void uploadImg(MultipartFile file) {

    if (file.isEmpty()) {
          logger.info("文件为空");![img-security-result.png](https://img.haomeiwen.com/i1205687/3b35fc24024f3688.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

          return;
    }   
    
    // 判断文件目录是否存在
    String pathSaveImg = "/pathSaveImg/";
    File imgDir = new File(pathSaveImg);
    if (!imgDir()) {
      try {
          imgDir.mkdir();
      } catch (Exception e) {
          logger.error("创建目录失败!e:{}", e);
      }
    
    }
    
    // 保存文件
    FileOutputStream outputStream = null;
    try {
      // 按实际业务规则生成图片文件名,此处仅作示例
      String imgFilename = pathSaveImg + getOriginalFilename
      File filePath = new File(imgFilename);
      outputStream = new FileOutputStream(filePath);
      outputStream.write(file.getBytes());
      outputStream.close();
    } finally {
      if (outputStream != null) {
          try {
              outputStream.close();
          } catch (IOException e) {
              logger.error("exception: {}", e);
          }
      }
    }
}

如上所示是一段常见的图片上传处理逻辑,但是这种处理存在以下几个方面的问题。

修改文件后缀名

上述代码未对上传的文件类型做任何校验处理,不能确保上传的文件一定是图片类型。如果被别用用心的攻击者上传一段恶意代码或者攻击脚本,会导致该文件直接保存在服务端,非常危险。

  • 解决方案:对上传的文件做类型校验,以确保上传的文件为图片类型。那么如何对文件类型做校验呢?其实图片文件类型,如:jpg或png等,其文件签名信息中包含文件类型的特定信息(jpg/jpeg:FFD8FF;png:89504E47)等。常见文件签名信息可参见此链接。可以定义一个上传图片文件的白名单,然后验证文件签名信息是否在白名单中。
public final static Map<String, String> FILE_TYPE_MAP = new HashMap<>();

static {
    FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)
    FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)
    FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)
    FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)
    
    //可在此处继续添加允许的文件类型
    ...
}

文件类型判断处理如下

/**
 * 获取文件类型
 *
 * @param b 文件字节流
 * @return 文件类型
 */
public final static String getFileTypeByStream(byte[] b) {

    String fileTypeHex = String.valueOf(getFileHexString(b));
    Iterator<Map.Entry<String, String>> entryIterator = FILE_TYPE_MAP.entrySet().iterator();
    while (entryIterator.hasNext()) {
        Map.Entry<String, String> entry = entryIterator.next();
        String fileTypeHexValue = entry.getValue();
        if (fileTypeHex.toUpperCase().startsWith(fileTypeHexValue)) {
            return entry.getKey();
        }
    }
    return null;


/**
 * 获取文件标识十六进制
 *
 * @param b 文件字节流
 * @return 文件标识
 */
public final static String getFileHexString(byte[] b) {
    StringBuilder stringBuilder = new StringBuilder();
    if (b == null || b.length <= 0) {
        return null;
    }
    for (int i = 0; i < b.length; i++) {
        int v = b[i] & 0xFF;
        String hv = Integer.toHexString(v);
        if (hv.length() < 2) {
            stringBuilder.append(0);
        }
        stringBuilder.append(hv);
    }
    return stringBuilder.toString();

经过以上处理后我们可以获取到上传的图片文件的真实类型是jpg或png等。
但是这个还是不够,虽然攻击者已无法通过修改后缀名来伪造文件,但依然可以通过手动修改文件签名信息来伪造上传文件。

修改文件签名信息

  • 解决方案:针对修改文件签名信息伪造的文件,可以通过BufferedImage获取图片文件的宽、高属性来判定。对于真实的图片文件通过BufferedImage是可以获取到图片的实际宽、高值且值大于0;对于伪造的文件通过BufferedImage获取到的宽、高值为0。示例代码如下。

    /**
     * 判断输入流是否为图片
     *
     * @param ins 输入流
     * @return 是否为图片
     */
    public static final boolean isImage(InputStream ins) {
        boolean flag = false;
        try {
            BufferedImage bufreader = ImageIO.read(ins);
            int width = bufreader.getWidth();
            int height = bufreader.getHeight();
            if (width == 0 || height == 0) {
                flag = false;
            } else {
                flag = true;
            }
        } catch (IOException e) {
            flag = false;
        } catch (Exception e) {
            flag = false;
        }
        return flag;
    }
    
    

到此为止可以应对大部分的上传安全问题了,但是我们的步伐不能仅仅止步于此,还有一种情况。

向图片中添加恶意信息

向一张真正的图片中添加一些恶意的攻击信息并上传,截至目前该恶意文件会成功的保存到服务端。


img-security.png
  • 解决方案:可以通过对原始文件进行resize处理破坏原有文件结构,从而达到去除恶意信息的目的。
/***
 * 对图片进行resize处理
 * @param source 原始图片
 * @param targetW 目标图片宽度
 * @param targetH 目标图片高度
 * @return
 */
public static BufferedImage resize(BufferedImage source, int targetW, int targetH) {

    // targetW,targetH分别表示目标长和宽
    int type = source.getType();
    BufferedImage target = null;
    double sx = (double) targetW / source.getWidth();
    double sy = (double) targetH / source.getHeight();

    // 实现在targetW,targetH范围内实现等比缩放。
    if (sx > sy) {
        sx = sy;
        targetW = (int) (sx * source.getWidth());
    } else {
        sy = sx;
        targetH = (int) (sy * source.getHeight());
    }
    if (type == BufferedImage.TYPE_CUSTOM) {
        ColorModel cm = source.getColorModel();
        WritableRaster raster = cm.createCompatibleWritableRaster(targetW, targetH);
        boolean alphaPremultiplied = cm.isAlphaPremultiplied();
        target = new BufferedImage(cm, raster, alphaPremultiplied, null);
    } else {
        target = new BufferedImage(targetW, targetH, type);
    }

    Graphics2D g = target.createGraphics();
    g.setRenderingHint(RenderingHints.KEY_RENDERING, RenderingHints.VALUE_RENDER_QUALITY);
    g.drawRenderedImage(source, AffineTransform.getScaleInstance(sx, sy));
    g.dispose();
    return target;

}

resize处理后的结果,文件尾部添加的信息已被清除掉

img-security-result.png

总结

针对图片文件上传处理可以从以下几个方面进行安全性处理:

  • 获取真实文件扩展名
  • 判断文件真实类型
  • 对原始文件进行resize处理,破坏原有结构

相关文章

网友评论

      本文标题:正确的图片上传处理

      本文链接:https://www.haomeiwen.com/subject/kwayvxtx.html