正確的圖片上傳處理

圖片上傳是我們在日常開發(fā)中一個常見的需求,借助于現(xiàn)有框架,如:SpringMVC可以很容的實現(xiàn),示例代碼如下所示。

@RequestMapping(value = "/uploadImg", method = RequestMethod.POST)
public void uploadImg(MultipartFile file) {

    if (file.isEmpty()) {
          logger.info("文件為空");![img-security-result.png](http://upload-images.jianshu.io/upload_images/1205687-3b35fc24024f3688.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

          return;
    }   
    
    // 判斷文件目錄是否存在
    String pathSaveImg = "/pathSaveImg/";
    File imgDir = new File(pathSaveImg);
    if (!imgDir()) {
      try {
          imgDir.mkdir();
      } catch (Exception e) {
          logger.error("創(chuàng)建目錄失敗!e:{}", e);
      }
    
    }
    
    // 保存文件
    FileOutputStream outputStream = null;
    try {
      // 按實際業(yè)務(wù)規(guī)則生成圖片文件名,此處僅作示例
      String imgFilename = pathSaveImg + getOriginalFilename
      File filePath = new File(imgFilename);
      outputStream = new FileOutputStream(filePath);
      outputStream.write(file.getBytes());
      outputStream.close();
    } finally {
      if (outputStream != null) {
          try {
              outputStream.close();
          } catch (IOException e) {
              logger.error("exception: {}", e);
          }
      }
    }
}

如上所示是一段常見的圖片上傳處理邏輯,但是這種處理存在以下幾個方面的問題。

修改文件后綴名

上述代碼未對上傳的文件類型做任何校驗處理,不能確保上傳的文件一定是圖片類型。如果被別用用心的攻擊者上傳一段惡意代碼或者攻擊腳本,會導致該文件直接保存在服務(wù)端,非常危險。

  • 解決方案:對上傳的文件做類型校驗,以確保上傳的文件為圖片類型。那么如何對文件類型做校驗呢?其實圖片文件類型,如:jpg或png等,其文件簽名信息中包含文件類型的特定信息(jpg/jpeg:FFD8FF;png:89504E47)等。常見文件簽名信息可參見此鏈接??梢远x一個上傳圖片文件的白名單,然后驗證文件簽名信息是否在白名單中。
public final static Map<String, String> FILE_TYPE_MAP = new HashMap<>();

static {
    FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)
    FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)
    FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)
    FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)
    
    //可在此處繼續(xù)添加允許的文件類型
    ...
}

文件類型判斷處理如下

/**
 * 獲取文件類型
 *
 * @param b 文件字節(jié)流
 * @return 文件類型
 */
public final static String getFileTypeByStream(byte[] b) {

    String fileTypeHex = String.valueOf(getFileHexString(b));
    Iterator<Map.Entry<String, String>> entryIterator = FILE_TYPE_MAP.entrySet().iterator();
    while (entryIterator.hasNext()) {
        Map.Entry<String, String> entry = entryIterator.next();
        String fileTypeHexValue = entry.getValue();
        if (fileTypeHex.toUpperCase().startsWith(fileTypeHexValue)) {
            return entry.getKey();
        }
    }
    return null;


/**
 * 獲取文件標識十六進制
 *
 * @param b 文件字節(jié)流
 * @return 文件標識
 */
public final static String getFileHexString(byte[] b) {
    StringBuilder stringBuilder = new StringBuilder();
    if (b == null || b.length <= 0) {
        return null;
    }
    for (int i = 0; i < b.length; i++) {
        int v = b[i] & 0xFF;
        String hv = Integer.toHexString(v);
        if (hv.length() < 2) {
            stringBuilder.append(0);
        }
        stringBuilder.append(hv);
    }
    return stringBuilder.toString();

經(jīng)過以上處理后我們可以獲取到上傳的圖片文件的真實類型是jpg或png等。
但是這個還是不夠,雖然攻擊者已無法通過修改后綴名來偽造文件,但依然可以通過手動修改文件簽名信息來偽造上傳文件。

修改文件簽名信息

  • 解決方案:針對修改文件簽名信息偽造的文件,可以通過BufferedImage獲取圖片文件的寬、高屬性來判定。對于真實的圖片文件通過BufferedImage是可以獲取到圖片的實際寬、高值且值大于0;對于偽造的文件通過BufferedImage獲取到的寬、高值為0。示例代碼如下。

    /**
 * 判斷輸入流是否為圖片
 *
 * @param ins 輸入流
 * @return 是否為圖片
 */
public static final boolean isImage(InputStream ins) {
    boolean flag = false;
    try {
        BufferedImage bufreader = ImageIO.read(ins);
        int width = bufreader.getWidth();
        int height = bufreader.getHeight();
        if (width == 0 || height == 0) {
            flag = false;
        } else {
            flag = true;
        }
    } catch (IOException e) {
        flag = false;
    } catch (Exception e) {
        flag = false;
    }
    return flag;
}

到此為止可以應(yīng)對大部分的上傳安全問題了,但是我們的步伐不能僅僅止步于此,還有一種情況。

向圖片中添加惡意信息

向一張真正的圖片中添加一些惡意的攻擊信息并上傳,截至目前該惡意文件會成功的保存到服務(wù)端。


img-security.png
  • 解決方案:可以通過對原始文件進行resize處理破壞原有文件結(jié)構(gòu),從而達到去除惡意信息的目的。
/***
 * 對圖片進行resize處理
 * @param source 原始圖片
 * @param targetW 目標圖片寬度
 * @param targetH 目標圖片高度
 * @return
 */
public static BufferedImage resize(BufferedImage source, int targetW, int targetH) {

    // targetW,targetH分別表示目標長和寬
    int type = source.getType();
    BufferedImage target = null;
    double sx = (double) targetW / source.getWidth();
    double sy = (double) targetH / source.getHeight();

    // 實現(xiàn)在targetW,targetH范圍內(nèi)實現(xiàn)等比縮放。
    if (sx > sy) {
        sx = sy;
        targetW = (int) (sx * source.getWidth());
    } else {
        sy = sx;
        targetH = (int) (sy * source.getHeight());
    }
    if (type == BufferedImage.TYPE_CUSTOM) {
        ColorModel cm = source.getColorModel();
        WritableRaster raster = cm.createCompatibleWritableRaster(targetW, targetH);
        boolean alphaPremultiplied = cm.isAlphaPremultiplied();
        target = new BufferedImage(cm, raster, alphaPremultiplied, null);
    } else {
        target = new BufferedImage(targetW, targetH, type);
    }

    Graphics2D g = target.createGraphics();
    g.setRenderingHint(RenderingHints.KEY_RENDERING, RenderingHints.VALUE_RENDER_QUALITY);
    g.drawRenderedImage(source, AffineTransform.getScaleInstance(sx, sy));
    g.dispose();
    return target;

}

resize處理后的結(jié)果,文件尾部添加的信息已被清除掉

img-security-result.png

總結(jié)

針對圖片文件上傳處理可以從以下幾個方面進行安全性處理:

  • 獲取真實文件擴展名
  • 判斷文件真實類型
  • 對原始文件進行resize處理,破壞原有結(jié)構(gòu)
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容