JAVA文件上传防止篡改后缀名

最新推荐文章于 2024-06-16 09:46:44 发布
最新推荐文章于 2024-06-16 09:46:44 发布
阅读量1.7k 收藏 11
点赞数
分类专栏: 教程 JAVA基础 JAVA网络 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brianzb/article/details/124928348
版权
JAVA基础 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
教程
4 篇文章 0 订阅
订阅专栏
JAVA网络
1 篇文章 0 订阅
订阅专栏

记一次小技巧:

我们在做文件上传时会对比文件得后缀名比如.txt,但是假如用户恶意将其他格式得文件通过修改后缀名改为txt上传,则大大影响安全。

所以可通过文件得字节码判断文件得真实类型。

1.定义一下文件头的字节码:

//文件的字节码头
 
public enum FileType {
    /**
     * JEPG.
     */
    JPEG("FFD8FF"),
 
    /**
     * PNG.
     */
    PNG("89504E47"),
 
    /**
     * GIF.
     */
    GIF("47494638"),
 
    /**
     * TIFF.
     */
    TIFF("49492A00"),
 
    TXT("6C657420"),
 
    /**
     * Windows Bitmap.
     */
    BMP("424D"),
 
    /**
     * CAD.
     */
    DWG("41433130"),
 
    /**
     * Adobe Photoshop.
     */
    PSD("38425053"),
 
    /**
     * Rich Text Format.
     */
    RTF("7B5C727466"),
 
    /**
     * XML.
     */
    XML("3C3F786D6C"),
 
    /**
     * HTML.
     */
    HTML("68746D6C3E"),
 
    /**
     * Email [thorough only].
     */
    EML("44656C69766572792D646174653A"),
 
    /**
     * Outlook Express.
     */
    DBX("CFAD12FEC5FD746F"),
 
    /**
     * Outlook (pst).
     */
    PST("2142444E"),
 
    /**
     * MS Word/Excel.
     */
    XLS_DOC("D0CF11E0"),
 
    /**
     * MS Access.
     */
    MDB("5374616E64617264204A"),
 
    /**
     * WordPerfect.
     */
    WPD("FF575043"),
 
    /**
     * Postscript.
     */
    EPS("252150532D41646F6265"),
 
    /**
     * Adobe Acrobat.
     */
    PDF("255044462D312E"),
 
    /**
     * Quicken.
     */
    QDF("AC9EBD8F"),
 
    /**
     * Windows Password.
     */
    PWL("E3828596"),
 
    /**
     * ZIP Archive.
     */
    ZIP("504B0304"),
 
    /**
     * RAR Archive.
     */
    RAR("52617221"),
 
    /**
     * Wave.
     */
    WAV("57415645"),
 
    /**
     * AVI.
     */
    AVI("41564920"),
 
    /**
     * Real Audio.
     */
    RAM("2E7261FD"),
 
    /**
     * Real Media.
     */
    RM("2E524D46"),
 
    /**
     * MPEG (mpg).
     */
    MPG("000001BA"),
 
    /**
     * Quicktime.
     */
    MOV("6D6F6F76"),
 
    /**
     * Windows Media.
     */
    ASF("3026B2758E66CF11"),
 
    GZ("1F8B08"),
    /**
     * MIDI.
     */
    MID("4D546864");
   
}

2.获取文件字节码的前N位(因为文件类型的长度不同,所以获取前20位,如果是图片等可以只获得更少位数):


    /**
     * @description 第一步:获取文件输入流
     * @param filePath
     * @throws IOException
     */
    private static String getFileContent(String filePath) throws IOException {
 
        byte[] b = new byte[20];
        InputStream inputStream = null;
        try {
            inputStream = new FileInputStream(filePath);
            /**
             * int read() 从此输入流中读取一个数据字节。int read(byte[] b) 从此输入流中将最多 b.length
             * 个字节的数据读入一个 byte 数组中。 int read(byte[] b, int off, int len)
             *从此输入流中将最多 len 个字节的数据读入一个 byte 数组中。
             * 之所以从输入流中读取20个字节数据,是因为不同格式的文件头魔数长度是不一样的,比如 EML("44656C69766572792D646174653A")和GIF("47494638")
             * 为了提高识别精度所以获取的字节数相应地长一点
             */
            inputStream.read(b, 0, 20);
        } catch (IOException e) {
            e.printStackTrace();
            throw e;
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                    throw e;
                }
            }
        }
        return bytesToHexString(b);
    }

3.因为字节码头也是有可能被篡改的,所以将头部转换成16进制

/**
     * @description 第二步:将文件头转换成16进制字符串
     * @param
     * @return 16进制字符串
     */
    private static String bytesToHexString(byte[] src){
        StringBuilder stringBuilder = new StringBuilder();
        if (src == null || src.length <= 0) {
            return null;
        }
        for (int i = 0; i < src.length; i++) {
            int v = src[i] & 0xFF;
            String hv = Integer.toHexString(v);
            if (hv.length() < 2) {
                stringBuilder.append(0);
            }
            stringBuilder.append(hv);
        }
        System.out.println("文件类型16进制字符串是"+stringBuilder.toString());
        return stringBuilder.toString();
    }

4.对比

  /**
     * @description 第三步:根据十六进制字符串判断文件类型格式
     * @param filePath 文件路径
     * @return 文件类型
     */
    public static FileType getType(String filePath) throws IOException {
        String fileHead = getFileContent(filePath);
        if (fileHead == null || fileHead.length() == 0) {
            return null;
        }
        fileHead = fileHead.toUpperCase();
        FileType[] fileTypes = FileType.values();
        for (FileType type : fileTypes) {
//            startsWith() 方法用于检测字符串是否以指定的前缀开始
            if (fileHead.startsWith(type.getValue())) {
                return type;
            }
        }
        return null;
    }
}

ansee.z安子博
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止文件篡改文件校验和
JavaBuilt的博客
03-16 8573
Java防止文件篡改文件校验和 转载:请注明出处,谢谢! 1.为什么要防止文件篡改? 答案是显然的,为了保证版权,系统安全性等。之前公司开发一个系统,技术核心是一个科学院院士的研究成果,作为一款商业软件来说,保证公司及作者版权是非常重要的。系统安全性就更不用说了,系统两三下就被搞垮了,那这个系统就不算是一个合格的系统。 2.文件校验和作用 我们都知道,一个系统...
JAVA批量修改文件夹中文件
qq_46416934的博客
05-17 396
public class test { Thread thread=new Thread(); static String newString = “桃李醉春风”;//新字符串 static String oldString = “www”;//要被替换的字符串 static String dir = “I:\baidu\BaiduNetdiskDownload”;//文件所在路径,所有文件的根目录 public static void main(String\[\] args) { recursi
Java篡改方式
06-18
包含各种java篡改方式,主要介绍代码混淆和加密源文件两种方式的基本原理。
java实现的图片防篡改功能
09-03
java实现的图片防篡改功能,采用图片hash生成唯一标识,再进行比对,判断图片是否被篡改过,可运行源码
Java防止文件篡改文件校验功能的实例代码
08-26
主要介绍了Java防止文件篡改文件校验功能,本文给大家分享了文件校验和原理及具体实现思路,需要的朋友可以参考下
java判断是否上传的文件修改后缀
小菜鸟的博客
07-09 1085
java判断是否上传的文件修改后缀 调用: //判断文件后缀名是否被修改 Result<String> originalFile = GetFileTypeUtil.getOriginalFile(file); if(!originalFile.isSuccess()){ return originalFile; } 代码: import com.hronline.commons.tools.utils.Resu
JAVA实现对文件加锁防篡改 --《JAVA编程思想》83
BaymaxCS的博客
12-19 1592
在代码中,可以通过 synchronized 关键字对代码片段进行加锁,假设我们需要对文件进行加锁,synchronized 只能对 JAVA 执行代码进行加锁,倘若另外一个操作文件的线程是操作系统中其他的某个本地线程呢?这时仅仅通过 synchronized 关键字来加锁显然是不行的。 但好在 JDK 1.4 引入了针对本地操作系统的文件加锁机制,下面便和大家一起来学习。 public static void main(String[] args) throws IOException, Inte
防范用户通过篡改 文件后缀名的方式欺骗服务器,使用二进制流的方式读取文件文件,将头文件转换为16 进制
ycyez的专栏
06-26 1552
package com.servlet; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; publ
常用文件类型判断(防止文件后缀被篡改
流沙QuickSand
12-20 1577
特殊情况:目前,对于文本文件(*.txt)的文件无法校验,其读取的文件字节码几乎都不一样。当然还可能存在其他的。一般而言,如果手工修改文件的后缀,其内部文件字节码是不会发生变化的,以此来作为判断的标准。判断原理:定义好常用格式的文件后缀,以及对应文件的字节码前N位,作为判断的一句。因此,工作中,定义一个简要的工具来对常用的文件格式进行校验也是必要的。以下是定义好的常用几种文件格式的校验,若有需要,可以自行增加。
通过java判断文件真实类型
qq_41787812的博客
10-09 2267
通过java判断文件真实类型
Java 通过魔数判断上传文件的类型
weixin_45636743的博客
03-21 1779
使用魔数值校验,不管是传入的文件后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。
检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过
10-30
很多ASP程序检查上传图片是否合法往往只去检查文件的后缀,这样有一个很大的安全隐患,就是如果把ASP文件后缀名改成.jpg或者.gif上传,或者图片里加入恶意代码再上传,那也会被程序认为是图片文件而照传不误。假如不怀好意的人上传个木马文件进去,虽然是后缀为jpg也许无法直接运行,但确确实实给服务器带来了很大的安全隐患。
Java上传下载文件并实现加密解密
08-19
Java上传下载文件并实现加密解密 Java 是一种广泛使用的编程语言,上传下载文件Java开发中常见的功能之一,而加密解密则可以确保文件的安全性。本文将详细介绍如何使用Java实现上传下载文件并实现加密解密。 ...
java篡改_用JAVA二十分钟撸一个简易图片防篡改
weixin_35203962的博客
02-21 659
看到有个毕设是搞图片防篡改的,就自己撸了一个简易图片防止篡改。原理将图片字节生成字符串使用摘要算法加密,将加密生成的字节写到图片最后。验证时,首先读取末尾的加密字节,读取完成以后删除,再通过摘要算法加密,判断加密值与读取加密值是否相同,如果不同,则图片被篡改。我在这里使用加盐的md5算法。图片防止篡改部分第一步,获取图片的md5字符串,并转为字节数组//将图片使用md5加密private stat...
Java如何判断一个上传文件的内容类型
jimmyleeee的专栏
04-18 8316
关于如何判断一个文件的类型,在如何判断一个文件的类型_jimmyleeee的博客-CSDN博客已经介绍了,但是在实际运用于真正的文件上传时,还是有些注意事项需要注意的。 在进入主题之前,首先需要简单介绍一下MultipartFile这个类,通过getOriginalFilename()获取文件的名字,但是这个名字只是上传文件的名字,通过这个名字是无法访问到这个文件的。以下是测试时的debug信息: 可以看到MultipartFile类中,有filename,有filelocation,甚至还有临时.
java修改文件
brotherhuang的博客
03-15 1392
修改文件扩展名,那只是 掩耳盗铃
文件上传漏洞
Enya1122的博客
02-04 1005
文件上传漏洞基础知识
基于springboot的青年公寓服务平台源码数据库
最新发布
s123456sj的博客
06-16 1168
本青年公寓服务平台分为管理员还有用户两个权限,管理员可以管理用户的基本信息内容,可以管理房屋投诉信息以及房屋投诉的租赁信息,能够与用户进行相互交流等操作,用户可以查看房屋信息,可以查看房屋投诉以及查看管理员回复信息等操作。
文件上传暴力破解黑名单后缀名
08-17
文件上传暴力破解黑名单后缀名是一种攻击方式,攻击者尝试上传被服务器列入黑名单的文件类型。这种攻击的目的是绕过服务器对文件类型的过滤,上传可能存在安全风险的文件。 下面是一些防御措施来防止文件上传暴力破解黑名单后缀名的攻击: 1. 使用白名单而非黑名单:将文件上传过滤机制从黑名单(禁止上传某些文件类型)改为白名单(只允许上传某些受信任的文件类型)。这样可以确保只有预期的文件类型被上传。 2. 对文件进行完整性检查:在接收到上传的文件后,对其进行完整性检查,以确保文件没有被篡改或包含恶意内容。可以通过校验文件的哈希值或进行病毒扫描来验证文件的完整性。 3. 限制文件上传大小:设置合理的上传文件大小限制,防止攻击者通过上传大型文件来耗尽服务器资源或进行其他恶意行为。 4. 验证文件类型:除了通过文件扩展名验证外,还应该通过检查文件的内容类型(MIME类型)来验证文件类型的合法性。这可以防止攻击者通过伪造文件扩展名来绕过检查。 5. 安全审计:定期审计文件上传功能的安全性,检查是否存在漏洞或配置错误。 通过以上防御措施,可以有效减少文件上传暴力破解黑名单后缀名的风险。同时,还应保持对最新的安全威胁和漏洞的了解,并及时更新和修复系统中的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值