asp防止上传图片木马原理解析

有时候通过程序上传木马，一般都是伪装成图片,下面是asp下检测图片木马的代码，需要的朋友可以参考下。

首先判断文件大小：

1. if file.filesize<10 then 
2. Response.Write("<script>alert('您没有选择上传文件')</script>") 
3. Response.Write("<script>history.go(-1)</script>") 
4. Response.End() 
5. end if 

将文件上传到服务器后，判断用户文件中的危险操作字符:

1. set MyFile = server.CreateObject("Scripting.FileSystemObject") 
2. set MyText = MyFile.OpenTextFile(FilePath, 1) '读取文本文件 
3. sTextAll = lcase(MyText.ReadAll) 
4. MyText.close 
5. set MyFile = nothing 
6. sStr=".getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas 
7. |wscript.shell|script.encode|server.|.createobject|execute|activexobject|language=" 
8. sNoString = split(sStr,"|")  
9. for i=0 to ubound(sNoString) 
10. if instr(sTextAll,sNoString(i)) then 
11. set filedel = server.CreateObject("Scripting.FileSystemObject") 
12. filedel.deletefile FilePath 
13. set filedel = nothing 
14. Response.Write("<script>alert('您上传的文件有问题，上传失败');window.close();</script>") 
15. Response.End() 
16. end if 
17. next 

如何防止木马性图片上传

这个代码我检验过没有问题，可以阻挡木马性图片的上传

1. <% 
2. '*************************************************************** 
3. 'CheckFileType 函数用来检查文件是否为图片文件 
4. '参数filename是本地文件的路径 
5. '如果是文件jpeg,gif,bmp,png图片中的一种，函数返回true，否则返回false 
6. '*************************************************************** 
7.  
8. const adTypeBinary=1 
9.  
10. dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) 
11. dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) 
12. dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) 
13. dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) 
14. Response.Write CheckFileType(Server.MapPath("2.gif")) 
15.  
16. function CheckFileType(filename) 
17. on error resume next 
18. CheckFileType=false 
19. dim fstream,fileExt,stamp,i 
20. fileExt=mid(filename,InStrRev(filename,".")+1) 
21. set fstream=Server.createobject("ADODB.Stream") 
22. fstream.Open 
23. fstream.Type=adTypeBinary 
24. fstream.LoadFromFile filename 
25. fstream.position=0 
26. select case fileExt 
27. case "jpg","jpeg" 
28. stamp=fstream.read(2) 
29. for i=0 to 1 
30. if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false 
31. next 
32. case "gif" 
33. stamp=fstream.read(6) 
34. for i=0 to 5 
35. if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false 
36. next 
37. case "png" 
38. stamp=fstream.read(4) 
39. for i=0 to 3 
40. if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false 
41. next 
42. case "bmp" 
43. stamp=fstream.read(2) 
44. for i=0 to 1 
45. if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false 
46. next 
47. end select 
48. fstream.Close 
49. set fseteam=nothing 
50. if err.number<>0 then CheckFileType=false 
51. end function 
52. %> 

以上就是asp防止上传图片木马原理解析，希望对大家的学习有所帮助。