Wiki-Quellcode von Konfiguration von Dateiuploads
Zuletzt geändert von MACH formsolutions am 21.03.2025
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | ## Allgemeines | ||
| 2 | |||
| 3 | Um die Upload-Möglichkeiten (Upload-Komponente und Submission-API) zusätzlich abzusichern, wurde die Prüfung der Dateien um einer Magic-Byte- bzw. Media-Type-Prüfung mit dem Release [4.65.0](https://wiki.form-solutions.de/wiki/docwiki/view/Main/13_Release-Notes/) erweitert. | ||
| 4 | |||
| 5 | ## Upload-Komponente | ||
| 6 | |||
| 7 | Die Upload-Komponente wurde um eine Magic-Byte-Prüfung erweitert. Nachfolgend finden Sie eine Beschreibung der White- bzw. Blacklist der Datei-Endungen für die Upload-Komponente. | ||
| 8 | |||
| 9 | ## Konfiguration | ||
| 10 | |||
| 11 | Die systemweiten Properties finden Sie [[hier|doc:Main.01_Systemadministration.04_Wartung.02_Properties.07_Metaform.05_wicket.WebHome]]. Beachten Sie, dass die Properties auch in die "[[_general.properties_|doc:Main.01_Systemadministration.04_Wartung.02_Properties.WebHome]]" abgelegt werden können. Damit können Sie sich die doppelte Pflege für die Konfiguration für der Submission-API und die der Upload-Komponente sparen. | ||
| 12 | |||
| 13 | ### White-List | ||
| 14 | |||
| 15 | | Datei-Endung | MagicBytes | Beschreibung | | ||
| 16 | | ------------ | ------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------- | | ||
| 17 | | bmp | 42 4D | Bitmap Image File; Grafikformat | | ||
| 18 | | csv | - | Comma separated values; Textdatei/Tabelle | | ||
| 19 | | doc | D0 CF 11 E0 A1 B1 1A E1 | Microsoft Word Document | | ||
| 20 | | docx | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Word 2007 XML Document | | ||
| 21 | | gif | 47 49 46 38 | Graphics Interchange Format; Grafikformat | | ||
| 22 | | heic | ........6674797068656963 | Apple Bilddatenformat | | ||
| 23 | | htm | - | Hypertext Markup Language; Format für Internetseiten | | ||
| 24 | | html | - | Hypertext Markup Language; Format für Internetseiten | | ||
| 25 | | jpeg | FFD8FFDB;FFD8FFE0....4A46494600;FFD8FFE1....4578696600;FFD8FFE8....535049464600;FFD8FFEE | Joint Photographic Experts Group; Grafikformat | | ||
| 26 | | jpg | FFD8FFDB;FFD8FFE0....4A46494600;FFD8FFE1....4578696600;FFD8FFE8....535049464600;FFD8FFEE | Joint Photographic Experts Group; Grafikformat | | ||
| 27 | | odt | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | OpenDocument Text; OASIS-Textdokument* (auch KWord, AbiWord und TextMaker 2005; Open Office ab Version 2.0) | | ||
| 28 | | p7m | 2D 2D 2D 2D 2D 42 45 47 49 4E 20 50 4B 43 53 37; 30 8[01234] 06 09 2A 86 48 86 F7 0D 01 07 .. A0 | PKI-PKCS#7-Format; MIME-Nachricht (oft mit eingebettetem Originaldokument) | | ||
| 29 | | pdf | 25 50 44 46 2D | Portable Document Format; Textformat | | ||
| 30 | | png | 89 50 4E 47 0D 0A 1A 0A | Portable Network Graphics; Grafikformat | | ||
| 31 | | rar | 52 61 72 21 1A 07 00; 52 61 72 21 1A 07 01 00 | Roshal Archive; gepacktes RAR-Archiv | | ||
| 32 | | rtf | 7B 5C 72 74 66 31 | Rich Text Format; Textdatei | | ||
| 33 | | tif | 49 49 2A 00; 4D 4D 00 2A | Tagged Image File; Pixelbild-Format | | ||
| 34 | | tiff | 49 49 2A 00; 4D 4D 00 2A | Tagged Image File; Pixelbild-Format | | ||
| 35 | | txt | - | Einfacher Text | | ||
| 36 | | xls | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Excel Sheet; Tabellenkalkulation | | ||
| 37 | | xlsx | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Excel 2007 Sheet; Tabellenkalkulation, Makrofunktion deaktiviert | | ||
| 38 | | zip | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Komprimiertes Dateiarchiv | | ||
| 39 | | gpx | 3C6770782076657273696F6E3D22312E31|3C3F786D6C2076657273696F6E3D | GPS Exchange Format; XML/GPS-Daten | | ||
| 40 | | kml | 3C3F786D6C2076657273696F6E3D | Keyhole Markup Language; XML/geografische Daten | | ||
| 41 | |||
| 42 | ### Black-List | ||
| 43 | |||
| 44 | | Datei-Endung | MagicBytes | Beschreibung | | ||
| 45 | | ------------ | ------------------------------------------ | ---------------------------------------------------------------------------------------------------- | | ||
| 46 | | class | CA FE BA BE | Java .class-Datei; Von der Java Virtual Machine ausführbarer Bytecode | | ||
| 47 | | com | C9 | Command/Core Image; Batch-Datei (Betr.Syst. von DEC), ausführbares Programm (CP/M/DOS/Windows) | | ||
| 48 | | deb | 21 3C 61 72 63 68 3E | Debian Package; Installierbares Programmpaket für Debian | | ||
| 49 | | dex | 64 65 78 0A 30 33 35 00 | Dalvik Executable; Auführbare Datei (Android) | | ||
| 50 | | dll | 4D 5A | Dynamic Link Library; Zur Laufzeit linkbare Bibliothek (Windows, OS/2) | | ||
| 51 | | elf | 7F 45 4C 46 | Executable and Linking Format | | ||
| 52 | | exe | 5A 4D | Executable; Ausführbare Datei (DOS, OS/2, Windows) | | ||
| 53 | | iso | 43 44 30 30 31 | ISO 9660-Dateisystem; CD-Image mit ISO 9660-Dateisystem | | ||
| 54 | | jar | 50 4B 03 04 14 00 08 00 08 00; 5F 27 A8 89 | Java Archive; Komprimiertes Dateiarchiv | | ||
| 55 | | luac | 1B 4C 75 61 | Lua Compiled Source Code; Entwickler-Dateiformat wird beim Lua-Programmiersprachen-Compile verwendet | | ||
| 56 | | ps | 25 21 50 53 | PostScript; plattformunabhängiges Dokument | | ||
| 57 | |||
| 58 | ## Upload Submission-API | ||
| 59 | |||
| 60 | Die Upload Möglichkeit der Submission-API wurde um eine Media-Type-Prüfung erweitert. Nachfolgend finden Sie eine Beschreibung der White- bzw. Blacklist der Datei-Endungen für die Upload Möglichkeit. | ||
| 61 | |||
| 62 | ### White-List | ||
| 63 | |||
| 64 | | Datei-Endung | MagicBytes | Beschreibung | | ||
| 65 | | ------------ | -------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- | | ||
| 66 | | bmp | 42 4D | Bitmap Image File; Grafikformat | | ||
| 67 | | csv | - | Comma separated values; Textdatei/Tabelle | | ||
| 68 | | doc | D0 CF 11 E0 A1 B1 1A E1 | Microsoft Word Document | | ||
| 69 | | docx | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Word 2007 XML Document | | ||
| 70 | | gif | 47 49 46 38 | Graphics Interchange Format; Grafikformat | | ||
| 71 | | htm | - | Hypertext Markup Language; Format für Internetseiten | | ||
| 72 | | html | - | Hypertext Markup Language; Format für Internetseiten | | ||
| 73 | | jpeg | FF D8 FF DB; FF D8 FF E0 00 10 4A 46 49 46 00 01; FF D8 FF EE; FF D8 FF E1 ?? ?? 45 78 69 66 00 00 | Joint Photographic Experts Group; Grafikformat | | ||
| 74 | | jpg | FF D8 FF DB; FF D8 FF E0 00 10 4A 46 49 46 00 01; FF D8 FF EE; FF D8 FF E1 ?? ?? 45 78 69 66 00 00 | Joint Photographic Experts Group; Grafikformat | | ||
| 75 | | odt | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | OpenDocument Text; OASIS-Textdokument* (auch KWord, AbiWord und TextMaker 2005; Open Office ab Version 2.0) | | ||
| 76 | | pdf | 25 50 44 46 2D | Portable Document Format; Textformat | | ||
| 77 | | png | 89 50 4E 47 0D 0A 1A 0A | Portable Network Graphics; Grafikformat | | ||
| 78 | | rar | 52 61 72 21 1A 07 00; 52 61 72 21 1A 07 01 00 | Roshal Archive; gepacktes RAR-Archiv | | ||
| 79 | | rtf | 7B 5C 72 74 66 31 | Rich Text Format; Textdatei | | ||
| 80 | | tif | 49 49 2A 00; 4D 4D 00 2A | Tagged Image File; Pixelbild-Format | | ||
| 81 | | tiff | 49 49 2A 00; 4D 4D 00 2A | Tagged Image File; Pixelbild-Format | | ||
| 82 | | txt | - | Einfacher Text | | ||
| 83 | | xls | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Excel Sheet; Tabellenkalkulation | | ||
| 84 | | xlsx | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Microsoft Excel 2007 Sheet; Tabellenkalkulation, Makrofunktion deaktiviert | | ||
| 85 | | zip | 50 4B 03 04; 50 4B 05 06; 50 4B 07 08 | Komprimiertes Dateiarchiv | | ||
| 86 | |||
| 87 | ### Black-List | ||
| 88 | |||
| 89 | | Datei-Endung | MagicBytes | Beschreibung | | ||
| 90 | | ------------ | ------------------------------------------ | ---------------------------------------------------------------------------------------------------- | | ||
| 91 | | class | CA FE BA BE | Java .class-Datei; Von der Java Virtual Machine ausführbarer Bytecode | | ||
| 92 | | com | C9 | Command/Core Image; Batch-Datei (Betr.Syst. von DEC), ausführbares Programm (CP/M/DOS/Windows) | | ||
| 93 | | deb | 21 3C 61 72 63 68 3E | Debian Package; Installierbares Programmpaket für Debian | | ||
| 94 | | dex | 64 65 78 0A 30 33 35 00 | Dalvik Executable; Auführbare Datei (Android) | | ||
| 95 | | dll | 4D 5A | Dynamic Link Library; Zur Laufzeit linkbare Bibliothek (Windows, OS/2) | | ||
| 96 | | elf | 7F 45 4C 46 | Executable and Linking Format | | ||
| 97 | | exe | 5A 4D | Executable; Ausführbare Datei (DOS, OS/2, Windows) | | ||
| 98 | | iso | 43 44 30 30 31 | ISO 9660-Dateisystem; CD-Image mit ISO 9660-Dateisystem | | ||
| 99 | | jar | 50 4B 03 04 14 00 08 00 08 00; 5F 27 A8 89 | Java Archive; Komprimiertes Dateiarchiv | | ||
| 100 | | luac | 1B 4C 75 61 | Lua Compiled Source Code; Entwickler-Dateiformat wird beim Lua-Programmiersprachen-Compile verwendet | | ||
| 101 | | ps | 25 21 50 53 | PostScript; plattformunabhängiges Dokument | |