常用文件类型判断(防止文件后缀被篡改)

最新推荐文章于 2024-08-13 14:46:30 发布
最新推荐文章于 2024-08-13 14:46:30 发布
阅读量1.9k 收藏 6
点赞数 3
分类专栏: Java专栏 工具 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gengzhy/article/details/128387549
版权
该博客介绍了如何通过文件的字节码前几位来校验文件的真实类型,即使文件后缀被修改。提供了一个工具类用于读取文件字节并转换为十六进制,以及一个文件类型校验工具类,包含了常见文件类型的字节码头部信息。当文件后缀篡改时,能识别出原始文件类型。
摘要由CSDN通过智能技术生成

判断原理:定义好常用格式的文件后缀,以及对应文件的字节码前N位,作为判断的一句。

一般而言,如果手工修改文件的后缀,其内部文件字节码是不会发生变化的,以此来作为判断的标准。

因此,工作中,定义一个简要的工具来对常用的文件格式进行校验也是必要的。

以下是定义好的常用几种文件格式的校验,若有需要,可以自行增加。

特殊情况:目前,对于文本文件(*.txt)的文件无法校验,其读取的文件字节码几乎都不一样。当然还可能存在其他的。

字节转换为十六进制工具类:

import java.io.InputStream;

public final class BytesUtil {

    public static String readBytesToHex(InputStream in, byte[] buff) {
        readBuff(in, buff);
        return bytesToHex(buff);
    }

    public static boolean readBuff(InputStream in, byte[] buff) {
        try {
            return in.read(buff, 0, buff.length) != -1;
        } catch (Exception e) {
            throw new RuntimeException(e.getMessage());
        }
    }

    public static String bytesToHex(byte[] buff) {
        if (buff == null || buff.length == 0) {
            return null;
        }
        StringBuilder s = new StringBuilder();
        for (byte b : buff) {
            String hv = Integer.toHexString(b & 0xFF);
            if (hv.length() < 2) {
                s.append("0");
            }
            s.append(hv);
        }
        return s.toString().toUpperCase();
    }
}

文件类型校验工具类:

import lombok.Getter;
import lombok.extern.slf4j.Slf4j;

import java.io.*;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.Optional;

/**
 * 文件类型校验工具
 */
@Slf4j
public final class FileTypeCheckUtil {

    public static boolean checkType(File file) {
        try (FileInputStream in = new FileInputStream(file)) {
            return checkType(in, file.getName());
        } catch (IOException e) {
            throw new RuntimeException(e.getMessage());
        }
    }

    public static boolean checkType(InputStream in, String fileName) {
        return doCheckRowType(in, fileName, Type.values());
    }

    public static boolean checkRawType(File file, Type targetType) {
        if (file == null) {
            throw new RuntimeException("校验的文件为空");
        }
        try (FileInputStream in = new FileInputStream(file)) {
            return checkRowType(in, file.getName(), targetType);
        } catch (IOException e) {
            throw new RuntimeException(e.getMessage());
        }
    }

    public static boolean checkRowType(InputStream in, String fileName, Type targetType) {
        return doCheckRowType(in, fileName, targetType);
    }

    private static boolean doCheckRowType(InputStream in, String fileName, Type... targetTypes) {
        if (in == null) {
            throw new RuntimeException("校验的文件流为空");
        }
        if (fileName == null) {
            throw new RuntimeException("校验的文件名为空");
        }
        String[] arr = fileName.split("\\.");
        if (arr.length < 2) {
            throw new RuntimeException("校验的文件不是特定格式的文件");
        }
        String fileSuffix = arr[arr.length - 1];
        Optional<Type> op = Arrays.stream(targetTypes).filter(f -> Arrays.stream(f.suffix).anyMatch(s -> s.equalsIgnoreCase(fileSuffix))).findAny();
        if (!op.isPresent()) {
            throw new RuntimeException("无法校验当前文件格式:" + fileSuffix);
        }
        Type type = op.get();
        byte[] buff = new byte[type.hexCode.length() / 2];
        String hex = BytesUtil.readBytesToHex(in, buff);
        boolean matched = type.getHexCode().equals(hex);
        if (!matched) {
            Optional<Type> optional = Arrays.stream(Type.values()).filter(c -> c.getHexCode().equals(hex)).findAny();
            optional.ifPresent(t -> log.error("“{}”文件后缀被篡改, 原文件类型:{}", fileName, t.getSuffix()));
        }
        return matched;
    }


    //文件的字节码头
    @Getter
    public enum Type {
        XLS_DOC_PPT("D0CF11E0A1B11AE1", "xls", "doc", "ppt"),
        XLSX_DOCX_PPTX("504B0304", "xlsx", "docx", "pptx"),
        PDF("255044462D312E", "pdf"),
        LIBRE_OFFICE("504B030414", "odg", "odp", "ods", "odt"),

        ZIP("504B03040A", "zip"),
        RAR("52617221", "rar"),
        GZ("1F8B08", "gz"),

        JPEG("FFD8FF", "jpeg"),
        JPG("FFD8FFE0", "jpg"),
        PNG("89504E47", "png"),
        GIF("47494638", "gif"),
        WEBP("52494646", "webp"),
        BMP("424D", "bmp"),
        BPMN("3C3F786D6C", "bpmn");

        Type(String hexCode, String... suffix) {
            this.hexCode = hexCode;
            this.suffix = suffix;
        }

        private final String hexCode;
        private final String[] suffix;

        public static List<String> allSuffix() {
            List<String> r = new ArrayList<>();
            for (Type type : Type.values()) {
                r.addAll(Arrays.asList(type.getSuffix()));
            }
            return r;
        }

    }
}

流沙QS
关注
专栏目录
Java防止文件篡改文件校验功能的实例代码
08-26
主要介绍了Java防止文件篡改文件校验功能,本文给大家分享了文件校验和原理及具体实现思路,需要的朋友可以参考下
文件类型判断
hailin525的博客
03-20 362
文件的类型是可以伪装的,所以你光判断后缀名和没判断没什么区别。对头文件校验(javax.activation.MimetypesFileTypeMap),doc是对的,而docx却成了jar了,xlsx却成了zip了,太不靠谱了。 而换成Path source = Paths.get(xslFilePath+"/"+fileName);         String filetype = nu
文件上传-后端验证
最新发布
feiwujiushiwo的博客
08-13 831
以下全以PHP代码为例。
Java代码修改文件后缀名(迭代)
农专猿的博客
04-13 1506
其中版本二创建新文件夹用到了Path,可以返回路径。复制文件到新文件夹用到了FileChannel,相比于传统的输入输出流,传输速度更快,稳定性更高。并且FileOutputStream()可以间接的在复制文件的时候就把文件名改了,省去了版本一改文件名的步骤。(idea提示我 list.length > 0是多余的,有大佬能解释一下吗?
文件类型判断
04-05
文件类型判断1.0.exe 用vb编写的判断未知文件类型的软件。可以用于恢复数据,如硬盘扫描生成的*.chk文件。可以用于识别google浏览器临时文件夹下的没有文件后缀名的文件,还可以用于更正某些网站为了不让大家看的cgi文件等类型,以恢复文件类型真实面貌。 增加有文件顺序命名功能,方便大家整理文件。 大家可以看这个软件的主要功能是,识别*.chk文件类型,和我的功能差不多,价值可是98元哦。大家不相信可以看这个网址哦。 http://reg.banma.com/order/id/5B ... 4F245D32920F/1.html 我也得感谢这个软件,他激发我给大家一个免费实用的软件。现在版本暂定1.0。
利用文件判断文件类型
weixin_34267123的博客
03-21 507
上传文件时经常需要做文件类型判断,例如图片、文档等,普通做法是直接判断文件后缀名,而文艺青年为了防止各种攻击同时也会加上使用文件头信息判断文件类型。 原理很简单:用文件判断,直接读取文件的前2个字节即可。 Demo using System; using System.IO;   names...
文件类型校验
weixin_30865427的博客
05-12 159
<!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> &l...
如何判断一个文件的类型
jimmyleeee的专栏
04-18 8484
在文章应用安全系列之二十四:文件上传_jimmyleeee的博客-CSDN博客描述了上传文件时需要判断文件的几个方面,其中一个就是文件的类型,当然,如果要根据文件后缀判断,也能满足大部分需求,如果确实需要判断文件的类型,或者某些时刻文件没有扩展名时,就会遇到麻烦。 Java提供了集中方法来判断一个文件的类型,其中比较常用的方法是:Files.probeContentType,但是,它有一个缺点就是,当文件没有扩展名时,返回的结果是null,下面是一个使用这个方法的代码: public class T
文件类型判断_文件类型
culh2177的博客
08-13 94
文件类型判断Doctypes are simply a way to tell the browser—or any other parsers—what type of document they’re looking at. In the case of HTML files, they refer to the specific version and flavor of HTML. The...
文件类型效验
w11117的博客
07-08 130
【代码】文件类型效验。
js 上传文件校验文件类型和大小
04-27
js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小 js 上传文件校验 js 上传文件校验 js 上传文件校验
未知或被更改后缀文件类型识别工具
05-31
如果你遇到没有后缀文件,那么你可以用这款工具查询出他的文件类型可能是什么,只需把你要鉴定的文件拖进去,几秒就可以得出结果.
java后台验证附件格式
05-20
这个java文件就差不多文档类的.图片、音频、视频等格式验证,主要是读取文档编码前面的格式验证
判断文件类型
qq_31935559的博客
04-25 193
package com.course.common.util; import java.util.HashMap; import java.util.Iterator; /** * 判断文件类型 MediaScanner helper class. */ public class MediaFile { // comma separated list of all file ex...
JAVA校验文件类型
Great_est的博客
02-06 2134
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
如何判断任意文件类型
mystudyblog0507的专栏
08-22 1720
1问题 从客户那里拿来的数据文件要入库,不知道是哪种数据库类型,也不知道是哪种备份方式。 进一步没有后缀文件,如何判断文件类型并使用相对应的工具并解析之? 2可用的方案 不能简单的通过后缀名来判断文件的类型 一方面文件后缀名可以随意修改或者删除。 另一方面在Linux上一切对象皆文件,完全不需要后缀名。 https://www.zhihu.com/question/422144033 很多文件文件头都会标识这种文件的类型,这几个字节也被称为"魔数"。 “魔数"是一个数字,通常使用十六进制表示。 你可以通
Js实现简单的文件类型文件大小、图片像素校验
qq_39410252的博客
12-11 1123
Js实现文件类型文件大小、图片像素校验Demo
WEB安全文件上传防御机制
08-08
### 回答1: 文件上传漏洞是Web应用程序中常见的安全漏洞之一,攻击者可以通过上传恶意文件来执行代码、获取敏感信息、攻击其他用户等。为了防止文件上传漏洞,可以采用以下防御机制: 1. 文件类型检查:在上传文件之前,应该对文件类型进行严格的检查,只允许上传指定的文件类型,例如图片、文本、PDF等。可以使用文件扩展名、MIME类型等方式来检查文件类型。 2. 文件大小限制:限制上传文件的大小,避免上传过大的文件导致服务器资源耗尽或拒绝服务攻击。 3. 文件名过滤:过滤掉恶意文件名,例如包含特殊字符、脚本代码等的文件名。 4. 文件内容检查:对上传的文件内容进行检查,避免上传包含恶意代码的文件。 5. 文件路径限制:限制上传文件的存储路径,避免上传恶意文件到系统目录或其他敏感目录。 6. 权限控制:对上传文件进行权限控制,例如只允许特定用户上传文件,或限制上传文件的访问权限。 7. 文件重命名:在上传文件时,将文件重命名为随机字符串,避免上传文件名相同的文件覆盖原有文件。 综上所述,通过以上防御机制可以有效地防止文件上传漏洞的发生,提高Web应用程序的安全性。 ### 回答2: WEB安全文件上传防御机制是指在网络应用中,为防止恶意用户上传危险文件并对系统造成安全威胁,采取的一系列防御措施。 首先,一种常见的防御机制是对文件类型进行限制。通过白名单或黑名单的方式,设置允许或禁止上传的文件类型,可以阻止用户上传可能存在风险的文件,如执行文件、脚本文件等。这种限制可以在前端或后台进行,前端可通过验证文件后缀判断,后台可通过文件头信息或内容进行判断。 其次,还可以对文件进行内容检测。这种机制可以通过对上传文件进行解析,检查其中的内容是否符合安全要求。例如,可以检查上传的图片是否包含恶意代码、上传的文档是否存在潜在的漏洞等。这需要在服务器端进行深入解析和检测,以确保上传文件的安全性。 此外,还可以对上传的文件进行重命名和存储路径随机化。通过对文件名进行加密或随机命名,可以避免恶意用户利用已知的文件名进行攻击,同时还可以将上传的文件存储到不可访问的路径中,提高上传文件的安全性。 最后,日志记录和监控也是重要的防御机制。通过记录每次文件上传的相关信息,包括上传者、上传时间、上传文件的属性等,可以方便后续对上传行为进行监控和追溯,及时发现并处理潜在的安全威胁。 综上所述,WEB安全文件上传防御机制涵盖了文件类型限制、内容检测、重命名与路径随机化、日志记录与监控等多种措施,通过这些手段可以提高网络应用的安全性,预防恶意文件上传对系统造成的安全威胁。 ### 回答3: WEB安全文件上传防御机制是为了防止恶意用户上传含有安全漏洞的文件或恶意文件,对WEB应用进行保护的一种机制。 首先,常用的WEB安全文件上传防御机制是通过对文件的类型和扩展名进行检查。通过验证文件的MIME类型和扩展名,可以辨别出危险的文件类型,例如可执行文件或脚本文件。如果检测到这些危险的文件类型,就应该及时拒绝上传,并给出合理的提示。 其次,WEB安全文件上传防御机制还可以通过对文件内容进行检查来确保文件的真实性和完整性。可以使用文件的特征码或哈希值进行校验,以确保文件内容没有被篡改。同时,还可以检测文件中是否含有恶意代码、文件头是否正确等,以确保上传的文件安全可靠。 此外,应该对上传文件的大小进行限制,防止恶意用户上传过大的文件导致服务器压力过大或占用过多的存储空间。可以设置合理的文件大小阈值,超过阈值的文件应及时拒绝上传,并给出相应的警示和提示。 最后,对于敏感文件的上传,应该进行额外的权限设置和访问控制。例如,将敏感文件存放在非web可访问的目录下,通过程序进行读取操作,从而避免用户直接访问敏感文件。 综上所述,WEB安全文件上传防御机制是通过对文件类型、扩展名、内容的检查和限制,确保上传文件的安全性和完整性,同时阻止恶意用户利用文件上传功能进行攻击。这些机制可以有效地保护WEB应用的安全。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流沙QS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值