图片上传是我们在日常开发中一个常见的需求,借助于现有框架,如:SpringMVC
可以很容的实现,示例代码如下所示。
@RequestMapping(value = "/uploadImg", method = RequestMethod.POST)
public void uploadImg(MultipartFile file) {
if (file.isEmpty()) {
logger.info("文件为空");![img-security-result.png](https://img.haomeiwen.com/i1205687/3b35fc24024f3688.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
return;
}
// 判断文件目录是否存在
String pathSaveImg = "/pathSaveImg/";
File imgDir = new File(pathSaveImg);
if (!imgDir()) {
try {
imgDir.mkdir();
} catch (Exception e) {
logger.error("创建目录失败!e:{}", e);
}
}
// 保存文件
FileOutputStream outputStream = null;
try {
// 按实际业务规则生成图片文件名,此处仅作示例
String imgFilename = pathSaveImg + getOriginalFilename
File filePath = new File(imgFilename);
outputStream = new FileOutputStream(filePath);
outputStream.write(file.getBytes());
outputStream.close();
} finally {
if (outputStream != null) {
try {
outputStream.close();
} catch (IOException e) {
logger.error("exception: {}", e);
}
}
}
}
如上所示是一段常见的图片上传处理逻辑,但是这种处理存在以下几个方面的问题。
修改文件后缀名
上述代码未对上传的文件类型做任何校验处理,不能确保上传的文件一定是图片类型。如果被别用用心的攻击者上传一段恶意代码或者攻击脚本,会导致该文件直接保存在服务端,非常危险。
- 解决方案:对上传的文件做类型校验,以确保上传的文件为图片类型。那么如何对文件类型做校验呢?其实图片文件类型,如:jpg或png等,其文件签名信息中包含文件类型的特定信息(jpg/jpeg:FFD8FF;png:89504E47)等。常见文件签名信息可参见此链接。可以定义一个上传图片文件的白名单,然后验证文件签名信息是否在白名单中。
public final static Map<String, String> FILE_TYPE_MAP = new HashMap<>();
static {
FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)
FILE_TYPE_MAP.put("png", "89504E47"); //PNG (png)
FILE_TYPE_MAP.put("gif", "47494638"); //GIF (gif)
FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)
//可在此处继续添加允许的文件类型
...
}
文件类型判断处理如下
/**
* 获取文件类型
*
* @param b 文件字节流
* @return 文件类型
*/
public final static String getFileTypeByStream(byte[] b) {
String fileTypeHex = String.valueOf(getFileHexString(b));
Iterator<Map.Entry<String, String>> entryIterator = FILE_TYPE_MAP.entrySet().iterator();
while (entryIterator.hasNext()) {
Map.Entry<String, String> entry = entryIterator.next();
String fileTypeHexValue = entry.getValue();
if (fileTypeHex.toUpperCase().startsWith(fileTypeHexValue)) {
return entry.getKey();
}
}
return null;
/**
* 获取文件标识十六进制
*
* @param b 文件字节流
* @return 文件标识
*/
public final static String getFileHexString(byte[] b) {
StringBuilder stringBuilder = new StringBuilder();
if (b == null || b.length <= 0) {
return null;
}
for (int i = 0; i < b.length; i++) {
int v = b[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
return stringBuilder.toString();
经过以上处理后我们可以获取到上传的图片文件的真实类型是jpg或png等。
但是这个还是不够,虽然攻击者已无法通过修改后缀名来伪造文件,但依然可以通过手动修改文件签名信息来伪造上传文件。
修改文件签名信息
-
解决方案:针对修改文件签名信息伪造的文件,可以通过BufferedImage获取图片文件的宽、高属性来判定。对于真实的图片文件通过BufferedImage是可以获取到图片的实际宽、高值且值大于0;对于伪造的文件通过BufferedImage获取到的宽、高值为0。示例代码如下。
/** * 判断输入流是否为图片 * * @param ins 输入流 * @return 是否为图片 */ public static final boolean isImage(InputStream ins) { boolean flag = false; try { BufferedImage bufreader = ImageIO.read(ins); int width = bufreader.getWidth(); int height = bufreader.getHeight(); if (width == 0 || height == 0) { flag = false; } else { flag = true; } } catch (IOException e) { flag = false; } catch (Exception e) { flag = false; } return flag; }
到此为止可以应对大部分的上传安全问题了,但是我们的步伐不能仅仅止步于此,还有一种情况。
向图片中添加恶意信息
向一张真正的图片中添加一些恶意的攻击信息并上传,截至目前该恶意文件会成功的保存到服务端。
img-security.png
- 解决方案:可以通过对原始文件进行resize处理破坏原有文件结构,从而达到去除恶意信息的目的。
/***
* 对图片进行resize处理
* @param source 原始图片
* @param targetW 目标图片宽度
* @param targetH 目标图片高度
* @return
*/
public static BufferedImage resize(BufferedImage source, int targetW, int targetH) {
// targetW,targetH分别表示目标长和宽
int type = source.getType();
BufferedImage target = null;
double sx = (double) targetW / source.getWidth();
double sy = (double) targetH / source.getHeight();
// 实现在targetW,targetH范围内实现等比缩放。
if (sx > sy) {
sx = sy;
targetW = (int) (sx * source.getWidth());
} else {
sy = sx;
targetH = (int) (sy * source.getHeight());
}
if (type == BufferedImage.TYPE_CUSTOM) {
ColorModel cm = source.getColorModel();
WritableRaster raster = cm.createCompatibleWritableRaster(targetW, targetH);
boolean alphaPremultiplied = cm.isAlphaPremultiplied();
target = new BufferedImage(cm, raster, alphaPremultiplied, null);
} else {
target = new BufferedImage(targetW, targetH, type);
}
Graphics2D g = target.createGraphics();
g.setRenderingHint(RenderingHints.KEY_RENDERING, RenderingHints.VALUE_RENDER_QUALITY);
g.drawRenderedImage(source, AffineTransform.getScaleInstance(sx, sy));
g.dispose();
return target;
}
resize处理后的结果,文件尾部添加的信息已被清除掉
img-security-result.png总结
针对图片文件上传处理可以从以下几个方面进行安全性处理:
- 获取真实文件扩展名
- 判断文件真实类型
- 对原始文件进行resize处理,破坏原有结构
网友评论