Java代码审计：文件上传与下载漏洞分析<\/h1>

前言<\/h2>
本文通过分析一个典型的Java Web应用中的文件上传(upload)和文件下载(download)功能，揭示其中存在的安全漏洞。审计过程采用最基本的代码审计方法，不依赖复杂工具，适合初学者学习。<\/p>

文件上传漏洞分析<\/h2>

1. 入口定位<\/h3>

通过web.xml<\/code>文件入手，发现两个可疑接口：<\/p>


upload<\/code> - 文件上传接口<\/li>
download<\/code> - 文件下载接口<\/li>
<\/ul>
2. 上传接口分析<\/h3>
找到处理文件上传的接口，重点关注getFilepath<\/code>函数，该函数接收四个参数：<\/p>

dir<\/code> - 目录路径<\/li>
name<\/code> - 文件名<\/li>
start<\/code> - 分段上传起始位置<\/li>
size<\/code> - 分段大小<\/li>
<\/ul>
参数验证<\/h4>

检查dir<\/code>和name<\/code>参数是否为空<\/li>
验证start<\/code>和size<\/code>是否为有效的长整型数字<\/li>
所有传入参数都经过Base64编码处理<\/li>
<\/ol>
安全校验函数<\/h4>
checkForbidName<\/code>函数检查路径安全性：<\/p>
public<\/span> static<\/span> boolean<\/span> checkForbidName<\/span>(<\/span>String...<\/span> names)<\/span> {<\/span>
<\/span><\/span>    for<\/span> (<\/span>String name :<\/span> names)<\/span> {<\/span>
<\/span><\/span>        if<\/span> (<\/span>name.<\/span>contains<\/span>(<\/span>".."<\/span>))<\/span> {<\/span>
<\/span><\/span>            return<\/span> true<\/span>;<\/span> \/\/ 检测到路径穿越尝试
<\/span><\/span><\/span><\/span>        }<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>    return<\/span> false<\/span>;<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>如果路径中包含..<\/code>，函数返回true并打印日志："can not upload file name has '..'"<\/p>
路径处理函数<\/h4>

getPhyFolder<\/code> - 获取物理目录路径<\/li>
getSubFolder<\/code> - 根据分页参数构造子目录路径<\/li>
<\/ol>
最终返回包含完整物理路径和相对路径的字符串数组。<\/p>
3. 漏洞复现<\/h3>
构造恶意请求包：<\/p>

对dir<\/code>和name<\/code>参数进行Base64编码<\/li>
上传成功后返回文件路径<\/li>
通过拼接相对路径和返回路径访问上传的文件<\/li>
使用哥斯拉等工具连接上传的Webshell<\/li>
<\/ol>
文件下载漏洞分析<\/h2>
1. 下载接口分析<\/h3>
下载接口与上传接口类似，关键点：<\/p>

dir<\/code>、address<\/code>和fileName<\/code>参数同样使用Base64编码<\/li>
使用相同的checkForbidName<\/code>方法检查路径安全性<\/li>
getPhyFolder<\/code>方法根据输入的dir<\/code>构造物理路径<\/li>
<\/ol>
2. 下载流程<\/h3>
通过downloadFile<\/code>函数进行文件下载，关键特征：<\/p>

如果进入else分支(第38行)，响应头会包含：<\/li>
<\/ul>
resp.<\/span>setHeader<\/span>(<\/span>"Content-disposition"<\/span>,<\/span> "attachment;filename=\""<\/span> +<\/span> encodeFileName(<\/span>fileName));<\/span>
<\/span><\/span><\/code><\/pre>此特征可用于判断文件下载功能是否可用。<\/p>
3. 漏洞验证<\/h3>

使用Yakit等工具发送测试请求<\/li>
检查响应头是否包含Content-disposition<\/code>字段<\/li>
通过浏览器直接访问链接验证文件下载功能<\/li>
<\/ol>
防御建议<\/h2>


路径校验增强<\/strong>：<\/p>

实现更严格的路径校验，不仅检查..<\/code>，还应检查绝对路径等<\/li>
使用白名单机制限制可访问的目录<\/li>
<\/ul>
<\/li>

文件类型限制<\/strong>：<\/p>

检查文件扩展名和MIME类型<\/li>
禁止上传可执行文件(如.jsp, .php等)<\/li>
<\/ul>
<\/li>

文件重命名<\/strong>：<\/p>

上传文件使用随机生成的文件名<\/li>
避免保留原始文件名<\/li>
<\/ul>
<\/li>

权限控制<\/strong>：<\/p>

确保上传目录没有执行权限<\/li>
设置适当的文件系统权限<\/li>
<\/ul>
<\/li>

日志记录<\/strong>：<\/p>

记录所有上传\/下载操作<\/li>
监控可疑活动<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
通过本次审计，我们了解到：<\/p>

文件上传功能的关键风险点在于路径校验不足<\/li>
文件下载功能可能被滥用导致任意文件读取<\/li>
Base64编码参数不能替代安全校验<\/li>
防御措施需要多层次、多角度考虑<\/li>
<\/ol>
代码审计时应特别关注文件操作相关的功能点，从参数处理、路径构造到最终的文件操作，每个环节都可能存在安全隐患。<\/p>

Java代码审计：文件上传与下载漏洞分析<\/h1>

前言<\/h2> 本文通过分析一个典型的Java Web应用中的文件上传(upload)和文件下载(download)功能，揭示其中存在的安全漏洞。审计过程采用最基本的代码审计方法，不依赖复杂工具，适合初学者学习。<\/p>

文件上传漏洞分析<\/h2>

文件下载漏洞分析<\/h2>

前言<\/h2>
本文通过分析一个典型的Java Web应用中的文件上传(upload)和文件下载(download)功能，揭示其中存在的安全漏洞。审计过程采用最基本的代码审计方法，不依赖复杂工具，适合初学者学习。<\/p>