java木马_Java校验上传图片文件是否含有木马的两种方式

这两天开发一个app遇到了上传文件的安全问题,在这里记录下来,弥补自己只有鱼的记忆的缺陷,也希望有人能够提供更好的思路去解决文件上传的安全问题.

下面这个类是文件上传的公共方法,ToolUtils判断的是文件的类型(jpg/png等),这样的做法根本不能避免上传的文件不是木马.下面引入两种方式,调用时候只需要引用一种即可.

private String executeUpload(String uploadDir,MultipartFile file) throws Exception {

// 文件后缀名

String suffix = file.getOriginalFilename().substring(file.getOriginalFilename().lastIndexOf("."));

// 判断后缀名是否合法

String suffixs = suffix.substring(1, suffix.length());

boolean isImage = ToolUtils.isImage(suffixs);

if(!isImage) {

logger.error("the transfer file is not a image!");

throw new FileException("上传非法文件!");

}

// 上传文件名

String fileName = UUID.randomUUID() + suffix;

InputStream inputStream = file.getInputStream();

// 第二种,判断文件是否含有木马(读取流)

// boolean flag = FileUtil.isFile(inputStream);

// if(!flag) {

// logger.error("the transfer file is not a image!");

// throw new FileException("上传非法文件!");

// }

// 服务器端保存的文件对象

// 第一种重写图片引入

try {

ImageUtil.resize1(inputStream, fileName, uploadDir);

} catch (Exception e) {

logger.error("the transfer file is not a image!");

throw new FileException("上传非法文件!");

}

// File serverFile = new File(uploadDir + fileName);

// 将上传的文件写入到服务器端文件内

// file.transferTo(serverFile);

return fileName;

}

第一种是将出入的图片重写,实践证明,不是图片的文件会直接报错,然后在executeUpload中被捕获.是图片但有脚本文件的文件会被重写,脚本文件会被移除.

* public class ImageUtil {

public static void resize1(InputStream inputStream, String fileName, String uploadDir) throws Exception {

if (inputStream == null) {

return;

}

BufferedImage src = ImageIO.read(inputStream);

int old_w = src.getWidth();

// 得到源图宽

int old_h = src.getHeight();

// 得到源图长

BufferedImage newImg = null;

// 判断输入图片的类型

switch (src.getType()) {

case 13:

// png,gif

newImg = new BufferedImage(old_w, old_h, BufferedImage.TYPE_4BYTE_ABGR);

break;

default:

newImg = new BufferedImage(old_w, old_h, BufferedImage.TYPE_INT_RGB);

break;

}

Graphics2D g = newImg.createGraphics();

// 从原图上取颜色绘制新图

g.drawImage(src, 0, 0, old_w, old_h, null);

g.dispose();

// 根据图片尺寸压缩比得到新图的尺寸

newImg.getGraphics().drawImage(

src.getScaledInstance(old_w, old_h, Image.SCALE_SMOOTH), 0,0, null);

File newFile = new File(uploadDir+fileName);

String endName = fileName.substring(fileName.lastIndexOf(".")+1).toLowerCase();

ImageIO.write(newImg, endName, newFile);

}

}

第二种是将图片流转换成十六进制的string字符进行过滤,分辨是否含有高危字符.

public static boolean isFile(InputStream inputStream) throws IOException {

byte[] byteArray = IOUtils.toByteArray(inputStream);

String str = bytesToHexString(byteArray);

// 匹配16进制中的

// 匹配16进制中的 ( ) ?>

// 匹配16进制中的

// 通过匹配十六进制代码检测是否存在木马脚本

String pattern = "(3c25.*?28.*?29.*?253e)|(3c3f.*?28.*?29.*?3f3e)|(3C534352495054)|(2F5343524950543E)|(3C736372697074)|(2F7363726970743E)";

Pattern mPattern = Pattern.compile(pattern);

Matcher mMatcher = mPattern.matcher(str);

// 查找相应的字符串

boolean flag = true;

if(mMatcher.find()) {

flag = false;

//过滤java关键字(java import String print write( read() php request alert system)(暂时先这样解决，这样改动最小，以后想后更好的解决方案再优化)

String keywordPattern = "(6a617661)|(696d706f7274)|(537472696e67)|(7072696e74)|(777269746528)|(726561642829)|(706870)|(72657175657374)|(616c657274)|(73797374656d)";

Pattern keywordmPattern = Pattern.compile(keywordPattern);

Matcher keywordmMatcher = keywordmPattern.matcher(str);

if(keywordmMatcher.find()){

flag = false;

}

}

return flag;

}

希望以上代码对您有帮助,也希望留下您对这方面更好的理解.