Java 通过魔数判断上传文件的类型

最新推荐文章于 2024-01-24 14:46:17 发布
最新推荐文章于 2024-01-24 14:46:17 发布
阅读量1.3w 收藏 33
点赞数 10
分类专栏: 程序开发 文章标签: java 互联网安全 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t894690230/article/details/51242110
版权

前言

文件上传功能是很多网站都必须的功能,而判断文件类型不仅可以过滤文件的上传,同时也能防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当作免费的文件存储服务器使用。

而对于上传文件来说,不能简单的通过后缀名来判断文件的类型,因为恶意攻击可以将可执行文件的后缀名称改为图片或者其他格式,诱导用户执行,因此,判断上传文件的类型需要更安全的方式。

与Java的class文件类似,很多类型的文件,起始的几个字节内容都是固定的,跟据这几个字节的内容,就可以判断文件的类型,这几个字节也被称为“魔数”,比如class文件的魔数就是“CAFEBABE”。

通过魔数判断文件类型便是一种更安全的方式,其示例源码如下。

源码

1.新建一个文件类型的枚举类


public enum FileType {
	
	/** JPEG */
	JPEG("FFD8FF"),
	
	/** PNG */
	PNG("89504E47"),
	
	/** GIF */
	GIF("47494638"),
	
	/** TIFF */
	TIFF("49492A00"),
	
	/** Windows bitmap */
	BMP("424D"),
	
	/** CAD */
	DWG("41433130"),
	
	/** Adobe photoshop */
	PSD("38425053"),
	
	/** Rich Text Format */
	RTF("7B5C727466"),
	
	/** XML */
	XML("3C3F786D6C"),
	
	/** HTML */
	HTML("68746D6C3E"),
	
	/** Outlook Express */
	DBX("CFAD12FEC5FD746F "),
	
	/** Outlook */
	PST("2142444E"),
	
	/** doc;xls;dot;ppt;xla;ppa;pps;pot;msi;sdw;db */
	OLE2("0xD0CF11E0A1B11AE1"),
	
	/** Microsoft Word/Excel */
	XLS_DOC("D0CF11E0"),
	
	/** Microsoft Access */
	MDB("5374616E64617264204A"),
	
	/** Word Perfect */
	WPB("FF575043"),
	
	/** Postscript */
	EPS_PS("252150532D41646F6265"),
	
	/** Adobe Acrobat */
	PDF("255044462D312E"),
	
	/** Windows Password */
	PWL("E3828596"),
	
	/** ZIP Archive */
	ZIP("504B0304"),
	
	/** ARAR Archive */
	RAR("52617221"),
	
	/** WAVE */
	WAV("57415645"),
	
	/** AVI */
	AVI("41564920"),
	
	/** Real Audio */
	RAM("2E7261FD"),
	
	/** Real Media */
	RM("2E524D46"),
	
	/** Quicktime */
	MOV("6D6F6F76"),
	
	/** Windows Media */
	ASF("3026B2758E66CF11"),
	
	/** MIDI */
	MID("4D546864");
	
	private String value = "";

	private FileType(String value) {
		this.value = value;
	}
	
	public String getValue() {
		return value;
	}

	public void setValue(String value) {
		this.value = value;
	}
	
}

2.新建一个文件工具类,用来判断上传文件的类型

import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;


public class FilUtil {
	
	/** 判断文件类型  */
	public static FileType getType(String filePath) throws IOException {
		// 获取文件头
		String fileHead = getFileHeader(filePath);
		
		if (fileHead != null && fileHead.length() > 0) {
			fileHead = fileHead.toUpperCase();
			FileType[] fileTypes = FileType.values();
			
			for (FileType type : fileTypes) {
				if (fileHead.startsWith(type.getValue())) {
					return type;
				}
			}
		}
		
		return null;
	}
	
	/** 读取文件头 */
	private static String getFileHeader(String filePath) throws IOException {
		byte[] b = new byte[28];
		InputStream inputStream = null;
		
		try {
			inputStream = new FileInputStream(filePath);
			inputStream.read(b, 0, 28);
		} finally {
			if (inputStream != null) {
				inputStream.close();
			}
		}
		
		return bytesToHex(b);
	}
	
	/** 将字节数组转换成16进制字符串 */
	public static String bytesToHex(byte[] src){  
	    StringBuilder stringBuilder = new StringBuilder("");  
	    if (src == null || src.length <= 0) {  
	        return null;  
	    }
	    for (int i = 0; i < src.length; i++) {  
	        int v = src[i] & 0xFF;  
	        String hv = Integer.toHexString(v);  
	        if (hv.length() < 2) {  
	            stringBuilder.append(0);  
	        }  
	        stringBuilder.append(hv);  
	    }  
	    return stringBuilder.toString();  
	} 
	
}

以上,需要注意的是,可能存在一种类型文件的魔数与另一种类型文件魔数的前面部分相等(如‘D0CF11E0’与‘D0CF11E0A1B11AE1’),所以应该尽量将更长的魔数值放在上面。这里的文件与魔数枚举得也不全面,但思路就这样吧。

参考文献
[1]陈康贤.大型分布式网站架构设计与实践[M].北京:电子工业出版社.2014.09

BarackHusseinObama
关注
专栏目录
常见文件文件
Xerath的博客
10-01 5万+
文件文件头标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photosh
java-文件工具,可以查看文件类型文件魔数,可以判断是否是视频文件,音乐文件,图片文件等等
11-13
java文件的工具,封装了常用的操作,尤其针对文件的实际类型,通过获取文件的byte,来查看文件起始字节的魔数值,通过魔数值来判断文件类型,工具集合了常用的文件类型对应的魔数,也封装了文件类型判断方法
java验证文件真实格式和编码格式工具
11-23
java验证文件真实格式和编码格式工具,验证文件文件格式和文件的编码格式给出正确的文件类型以及编码格式,从此解决文件解析乱码问题的烦恼
Office文件结构解析
qq_42814021的博客
11-02 6646
文章目录Office文件Office2007之前的版本Office2007及之后的版本OOXML = OPC + \*MLOPC*MLdocx文件的解析流程 Office文件 之前在项目开发过程中,进行文件类型判断时,发现doc和docx文件的结构是不同的,很是好奇,特来深究一番。 doc和docx、xls和xlsx、ppt和pptx的不同,其原理都是一样的。 doc是Office 2007之前的版本;docx是Office 2007之后的版本。下面详细介绍一下: 参考文档: Office恶意文件解析与混淆
java文件上传判断文件类型为表格_Java 通过魔数判断上传文件类型
weixin_28678517的博客
02-16 697
前言(转https://blog.csdn.net/t894690230/article/details/51242110)文件上传功能是很多网站都必须的功能,而判断文件类型不仅可以过滤文件的上传,同时也能防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当作免费的文件存储服务器使用。而对于上传文件来说,不能简单的通过后缀名来判断文件类型,因为恶意攻击可以将可执行文件的后缀名称改为图片或者...
前端文件上传识别文件类型的几种方法,快看你是哪个?
最新发布
QD_ANJING的博客
01-24 3368
除了这些之外,我们还可以使用第三方库file-type来实现文件类型检测,这里我们就不再进行 demo 演示了,感兴趣的可以去官方文档中进行查阅。
java如何实现判断文件的真实类型
08-29
为了解决在用户上传文件的时候在服务器端判断文件类型的问题,故用获取文件头的方式,直接读取文件的前几个字节,来判断上传文件是否符合格式。 二、Java获取文件头信息 Java可以通过文件输入流(FileInputStream)...
java实现上传文件类型检测过程解析
08-25
"Java 实现上传文件类型检测过程解析" Java 实现上传文件类型检测过程解析是指在进行文件上传时,对上传文件的格式进行控制,以防止黑客将病毒脚本上传。单纯的将文件名的类型进行截取的方式非常容易遭到破解,...
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
2. Java 获取和判断文件头信息:如何使用 Java 语言来获取和判断文件头信息,包括如何使用 MultipartFile 对象来获取文件信息,以及如何判断文件类型和大小等信息。 3. Ajax 文件上传:如何使用 Ajax 方式上传文件...
Java判断上传图片格式的实例代码
08-25
Java判断上传图片格式的实例代码 在本文中,我们将详细介绍Java判断上传图片格式的实例代码,主要讲解了如何使用Java判断上传的图片格式。我们都知道,客户上传图片时,可能会将png的图片后缀名改为jpg,从而绕过...
上传图片前判断文件格式与大小验证文件是不是图片
01-02
验证文件类型,看看所选文件是不是图片: 代码如下: //文件类型: protected bool IsAllowableFileType(string FileName) { //从web.config读取判断文件类型限制 string stringstrFileTypeLimit; string
文件文件头尾总结
热门推荐
煜铭2011
08-01 1万+
0x00 背景 近来处理webshell的时候,发现文件类型被篡改了,如何从HEX编码从判断是否为正常的文件,例如jpg是否为普通jpg还是合成了恶意代码的jpg,故需要分析文件文件尾,进行一个简单的判断 0x01安装工具 相对来说,简单快捷的是安装notepad++,然后安装Hex-Editor插件。当前使用其他的,例如UltraEdit、winhex、IDA pro也是不错的选...
根据文件头数据判断文件类型
sinat_24401621的博客
05-28 2738
现有一文件,其扩展名未知或标记错误。假设它是一个正常的、非空的文件,且将扩展名更正后可以正常使用,那么,如何判断它是哪种类型文件? 在后缀未知,或者后缀被修改的文件,依然通过文件头来判断文件究竟是什么文件类型。我们可以使用一个文本编辑工具如UltraEdit打开文件(16进制模式下),然后看文件头是什么字符,以下是常见文件类型文件头字符(16进制),希望对你有帮助: JPEG (jpg)
一些文件
weixin_45897324的博客
10-24 256
由这些文件头即使文件后缀被乱改也可以通过查看二进制文件查出文件的匹配格式,当然这就是一些播放器识别文件的方法 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photoshop (psd),文件头:3842505
PHP检测文件类型
junqing124的专栏
02-09 2919
/** * 检证文件类型 * * @author Silver */ class FileTypeValidation { // 文件类型,不同的头信息 private static $_fileFormats = Array( 'jp2' => '0000000C6A502020', '3gp' => '0000002066747970', '3gp5' => '000000186674797
java 二进制报文头_转自:java 文件格式二进制头文件校验
weixin_39593277的博客
02-28 302
转自:https://blog.csdn.net/useprogram/article/details/90637401public class FileTypeUtil {private final static Map FILE_TYPE_MAP = new HashMap();private static Logger log = LoggerFactory.getLogger(FileTy...
js判断文件上传类型
高先生的猫
11-10 1213
js判断文件上传类型
JS判断上传文件类型
Li_peichao的专栏
11-22 400
//判断文件类型 function changeType(objFile) { var objtype=objFile.substring(objFile.lastIndexOf(".")).toLowerCase(); var fileType=new Array(".ad",".adprototype",".asa",".asax",".ascx",".ashx",".asmx",".a...
java判断上传文件类型
05-12
Java中,可以通过以下方法来判断上传文件类型: 1. 通过文件名后缀名判断 可以通过文件名中的后缀名来判断文件类型,例如: ```java String fileName = "example.jpg"; if (fileName.endsWith(".jpg") || fileName.endsWith(".jpeg")) { // 文件类型为jpg或jpeg } else if (fileName.endsWith(".png")) { // 文件类型为png } else { // 其他文件类型 } ``` 但需要注意的是,文件名后缀可以被篡改,因此此方法不是十分可靠。 2. 通过文件的MIME类型判断 可以通过文件的MIME类型判断文件类型,例如: ```java import javax.activation.MimetypesFileTypeMap; MimetypesFileTypeMap mimeTypesMap = new MimetypesFileTypeMap(); String mimeType = mimeTypesMap.getContentType(filePath); if (mimeType.startsWith("image/")) { // 文件类型为图片 } else if (mimeType.startsWith("video/")) { // 文件类型为视频 } else if (mimeType.startsWith("text/")) { // 文件类型为文本文件 } else { // 其他文件类型 } ``` 需要注意的是,MIME类型也可以被篡改。 3. 通过文件内容判断 可以通过读取文件的内容来判断文件类型,例如: ```java import java.io.*; public static String getFileType(String filePath) throws IOException { InputStream inputStream = new FileInputStream(filePath); byte[] bytes = new byte[4]; inputStream.read(bytes); inputStream.close(); String type = ""; String fileHead = bytesToHexString(bytes); if (fileHead == null || fileHead.length() == 0) { return null; } fileHead = fileHead.toUpperCase(); FileType[] fileTypes = FileType.values(); for (FileType fileType : fileTypes) { if (fileHead.startsWith(fileType.getValue())) { type = fileType.name(); break; } } return type; } public static String bytesToHexString(byte[] bytes) { StringBuilder stringBuilder = new StringBuilder(); if (bytes == null || bytes.length <= 0) { return null; } for (int i = 0; i < bytes.length; i++) { int v = bytes[i] & 0xFF; String hv = Integer.toHexString(v); if (hv.length() < 2) { stringBuilder.append(0); } stringBuilder.append(hv); } return stringBuilder.toString(); } enum FileType { JPEG("FFD8FF"), // JPEG (jpg) PNG("89504E47"), // PNG (png) GIF("47494638"), // GIF (gif) TIFF("49492A00"), // TIFF (tif) BMP("424D"), // Windows Bitmap (bmp) DWG("41433130"), // CAD (dwg) PSD("38425053"), // Adobe Photoshop (psd) RTF("7B5C727466"), // Rich Text Format (rtf) XML("3C3F786D6C"), // XML (xml) HTML("68746D6C3E"), // HTML (html) PDF("255044462D312E"), // Adobe PDF (pdf) ZIP("504B0304"), // ZIP Archive (zip) RAR("52617221"), // RAR Archive (rar) WAV("57415645"), // Wave (wav) AVI("41564920"), // AVI (avi) MP4("00000020667479706D70"), // MPEG-4 (mp4) MPG("000001BA"), // MPEG (mpg) WMV("3026B2758E66CF11"), // Windows Media Video (wmv) MID("4D546864"); // MIDI (mid) private String value = ""; private FileType(String value) { this.value = value; } public String getValue() { return value; } } ``` 此方法可以通过读取文件的前几个字节来判断文件类型,比较可靠,但需要注意的是,不同类型文件前几个字节可能是相同的,因此有一定的误判率。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值