Java根据字节数据判断文件类型

最新推荐文章于 2024-04-18 09:39:19 发布
最新推荐文章于 2024-04-18 09:39:19 发布
阅读量1k 收藏 1
点赞数
文章标签: java photoshop
原文链接:http://www.cnblogs.com/jiangyang/p/4881586.html
版权

通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。

然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。

1. 伪造后缀名,如图片的,非常容易修改。

2. 伪造文件的Content-type,这个稍微复杂点,为了直观,截图如下:

 

 

3.较安全,但是要读取文件,并有16进制转换等操作,性能稍差,但能满足一定条件下对安全的要求,所以建议使用。

  但是文件头的信息也可以伪造,截图如下,对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

 

                                                      被伪装成gif的恶意图片文件

对应的Java代码如下:

 

[java] view plain copy print ?
  1. package apistudy;    
  2.     
  3. import java.awt.image.BufferedImage;  
  4. import java.io.File;  
  5. import java.io.FileInputStream;  
  6. import java.io.FileNotFoundException;  
  7. import java.io.IOException;  
  8. import java.io.InputStream;  
  9. import java.util.HashMap;  
  10. import java.util.Iterator;  
  11. import java.util.Map;  
  12. import java.util.Map.Entry;  
  13. import javax.imageio.ImageIO;  
  14. import javax.imageio.ImageReader;  
  15. import javax.imageio.stream.ImageInputStream;  
  16.     
  17. public class FileTypeTest    
  18. {    
  19.     public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>();    
  20.         
  21.     private FileTypeTest(){}    
  22.     static{    
  23.         getAllFileType();  //初始化文件类型信息    
  24.     }    
  25.         
  26.     /**  
  27.      * Created on 2010-7-1   
  28.      * <p>Discription:[getAllFileType,常见文件头信息]</p>  
  29.      * @author:[shixing_11@sina.com]  
  30.      */    
  31.     private static void getAllFileType()    
  32.     {    
  33.         FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)    
  34.         FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)    
  35.         FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)    
  36.         FILE_TYPE_MAP.put("tif", "49492A00");  //TIFF (tif)    
  37.         FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)    
  38.         FILE_TYPE_MAP.put("dwg", "41433130"); //CAD (dwg)    
  39.         FILE_TYPE_MAP.put("html", "68746D6C3E");  //HTML (html)    
  40.         FILE_TYPE_MAP.put("rtf", "7B5C727466");  //Rich Text Format (rtf)    
  41.         FILE_TYPE_MAP.put("xml", "3C3F786D6C");    
  42.         FILE_TYPE_MAP.put("zip", "504B0304");    
  43.         FILE_TYPE_MAP.put("rar", "52617221");    
  44.         FILE_TYPE_MAP.put("psd", "38425053");  //Photoshop (psd)    
  45.         FILE_TYPE_MAP.put("eml", "44656C69766572792D646174653A");  //Email [thorough only] (eml)    
  46.         FILE_TYPE_MAP.put("dbx", "CFAD12FEC5FD746F");  //Outlook Express (dbx)    
  47.         FILE_TYPE_MAP.put("pst", "2142444E");  //Outlook (pst)    
  48.         FILE_TYPE_MAP.put("xls", "D0CF11E0");  //MS Word    
  49.         FILE_TYPE_MAP.put("doc", "D0CF11E0");  //MS Excel 注意:word 和 excel的文件头一样    
  50.         FILE_TYPE_MAP.put("mdb", "5374616E64617264204A");  //MS Access (mdb)    
  51.         FILE_TYPE_MAP.put("wpd", "FF575043"); //WordPerfect (wpd)     
  52.         FILE_TYPE_MAP.put("eps", "252150532D41646F6265");    
  53.         FILE_TYPE_MAP.put("ps", "252150532D41646F6265");    
  54.         FILE_TYPE_MAP.put("pdf", "255044462D312E");  //Adobe Acrobat (pdf)    
  55.         FILE_TYPE_MAP.put("qdf", "AC9EBD8F");  //Quicken (qdf)    
  56.         FILE_TYPE_MAP.put("pwl", "E3828596");  //Windows Password (pwl)    
  57.         FILE_TYPE_MAP.put("wav", "57415645");  //Wave (wav)    
  58.         FILE_TYPE_MAP.put("avi", "41564920");    
  59.         FILE_TYPE_MAP.put("ram", "2E7261FD");  //Real Audio (ram)    
  60.         FILE_TYPE_MAP.put("rm", "2E524D46");  //Real Media (rm)    
  61.         FILE_TYPE_MAP.put("mpg", "000001BA");  //    
  62.         FILE_TYPE_MAP.put("mov", "6D6F6F76");  //Quicktime (mov)    
  63.         FILE_TYPE_MAP.put("asf", "3026B2758E66CF11"); //Windows Media (asf)    
  64.         FILE_TYPE_MAP.put("mid", "4D546864");  //MIDI (mid)    
  65.     }    
  66.     
  67.     public static void main(String[] args) throws Exception    
  68.     {    
  69.         File f = new File("c://aaa.gif");    
  70.         if (f.exists())    
  71.         {    
  72.             String filetype1 = getImageFileType(f);    
  73.             System.out.println(filetype1);    
  74.             String filetype2 = getFileByFile(f);    
  75.             System.out.println(filetype2);    
  76.         }    
  77.     }    
  78.     
  79.     /**  
  80.      * Created on 2010-7-1   
  81.      * <p>Discription:[getImageFileType,获取图片文件实际类型,若不是图片则返回null]</p>  
  82.      * @param File  
  83.      * @return fileType  
  84.      * @author:[shixing_11@sina.com]  
  85.      */    
  86.     public final static String getImageFileType(File f)    
  87.     {    
  88.         if (isImage(f))  
  89.         {  
  90.             try  
  91.             {  
  92.                 ImageInputStream iis = ImageIO.createImageInputStream(f);  
  93.                 Iterator<ImageReader> iter = ImageIO.getImageReaders(iis);  
  94.                 if (!iter.hasNext())  
  95.                 {  
  96.                     return null;  
  97.                 }  
  98.                 ImageReader reader = iter.next();  
  99.                 iis.close();  
  100.                 return reader.getFormatName();  
  101.             }  
  102.             catch (IOException e)  
  103.             {  
  104.                 return null;  
  105.             }  
  106.             catch (Exception e)  
  107.             {  
  108.                 return null;  
  109.             }  
  110.         }  
  111.         return null;  
  112.     }    
  113.     
  114.     /**  
  115.      * Created on 2010-7-1   
  116.      * <p>Discription:[getFileByFile,获取文件类型,包括图片,若格式不是已配置的,则返回null]</p>  
  117.      * @param file  
  118.      * @return fileType  
  119.      * @author:[shixing_11@sina.com]  
  120.      */    
  121.     public final static String getFileByFile(File file)    
  122.     {    
  123.         String filetype = null;    
  124.         byte[] b = new byte[50];    
  125.         try    
  126.         {    
  127.             InputStream is = new FileInputStream(file);    
  128.             is.read(b);    
  129.             filetype = getFileTypeByStream(b);    
  130.             is.close();    
  131.         }    
  132.         catch (FileNotFoundException e)    
  133.         {    
  134.             e.printStackTrace();    
  135.         }    
  136.         catch (IOException e)    
  137.         {    
  138.             e.printStackTrace();    
  139.         }    
  140.         return filetype;    
  141.     }    
  142.         
  143.     /**  
  144.      * Created on 2010-7-1   
  145.      * <p>Discription:[getFileTypeByStream]</p>  
  146.      * @param b  
  147.      * @return fileType  
  148.      * @author:[shixing_11@sina.com]  
  149.      */    
  150.     public final static String getFileTypeByStream(byte[] b)    
  151.     {    
  152.         String filetypeHex = String.valueOf(getFileHexString(b));    
  153.         Iterator<Entry<String, String>> entryiterator = FILE_TYPE_MAP.entrySet().iterator();    
  154.         while (entryiterator.hasNext()) {    
  155.             Entry<String,String> entry =  entryiterator.next();    
  156.             String fileTypeHexValue = entry.getValue();    
  157.             if (filetypeHex.toUpperCase().startsWith(fileTypeHexValue)) {    
  158.                 return entry.getKey();    
  159.             }    
  160.         }    
  161.         return null;    
  162.     }    
  163.         
  164.     /** 
  165.      * Created on 2010-7-2  
  166.      * <p>Discription:[isImage,判断文件是否为图片]</p> 
  167.      * @param file 
  168.      * @return true 是 | false 否 
  169.      * @author:[shixing_11@sina.com] 
  170.      */  
  171.     public static final boolean isImage(File file){  
  172.         boolean flag = false;  
  173.         try  
  174.         {  
  175.             BufferedImage bufreader = ImageIO.read(file);  
  176.             int width = bufreader.getWidth();  
  177.             int height = bufreader.getHeight();  
  178.             if(width==0 || height==0){  
  179.                 flag = false;  
  180.             }else {  
  181.                 flag = true;  
  182.             }  
  183.         }  
  184.         catch (IOException e)  
  185.         {  
  186.             flag = false;  
  187.         }catch (Exception e) {  
  188.             flag = false;  
  189.         }  
  190.         return flag;  
  191.     }  
  192.       
  193.     /**  
  194.      * Created on 2010-7-1   
  195.      * <p>Discription:[getFileHexString]</p>  
  196.      * @param b  
  197.      * @return fileTypeHex  
  198.      * @author:[shixing_11@sina.com]  
  199.      */    
  200.     public final static String getFileHexString(byte[] b)    
  201.     {    
  202.         StringBuilder stringBuilder = new StringBuilder();    
  203.         if (b == null || b.length <= 0)    
  204.         {    
  205.             return null;    
  206.         }    
  207.         for (int i = 0; i < b.length; i++)    
  208.         {    
  209.             int v = b[i] & 0xFF;    
  210.             String hv = Integer.toHexString(v);    
  211.             if (hv.length() < 2)    
  212.             {    
  213.                 stringBuilder.append(0);    
  214.             }    
  215.             stringBuilder.append(hv);    
  216.         }    
  217.         return stringBuilder.toString();    
  218.     }    
  219. }  

 

 

这样,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者 Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方 式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。

转载于:https://www.cnblogs.com/jiangyang/p/4881586.html

weixin_30432007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java文件处理工具类--FileUtil
01-14
package com.hexiang.utils; import java.io.*; /** * FileUtil. Simple file operation class. * * @author BeanSoft * */ public class FileUtil { /** * The buffer. */ protected static byte buf[] = new byte[1024]; /** * Read content from local file. FIXME How to judge UTF-8 and GBK, the * correct code should be: FileReader fr = new FileReader(new * InputStreamReader(fileName, "ENCODING")); Might let the user select the * encoding would be a better idea. While reading UTF-8 files, the content * is bad when saved out. * * @param fileName - * local file name to read * @return * @throws Exception */ public static String readFileAsString(String fileName) throws Exception { String content = new String(readFileBinary(fileName)); return content; } /** * 读取文件并返回为给定字符集的字符串. * @param fileName * @param encoding * @return * @throws Exception */ public static String readFileAsString(String fileName, String encoding) throws Exception { String content = new String(readFileBinary(fileName), encoding); return content; } /** * 读取文件并返回为给定字符集的字符串. * @param fileName * @param encoding * @return * @throws Exception */ public static String readFileAsString(InputStream in) throws Exception { String content = new String(readFileBinary(in)); return content; } /** * Read content from local file to binary byte array. * * @param fileName - * local file name to read * @return * @throws Exception */ public static byte[] readFileBinary(String fileName) throws Exception { FileInputStream fin = new FileInputStream(fileName); return readFileBinary(fin); } /** * 从输入流读取数据为二进制字节数组. * @param streamIn * @return * @throws IOException */ public static byte[] readFileBinary(InputStream streamIn) throws IOException { BufferedInputStream in = new BufferedInputStream(streamIn); ByteArrayOutputStream out = new ByteArrayOutputStream(10240); int len; while ((len
Java 下载网络图片,根据字节判断文件类型,并补充扩展名 通过URL下载网络文件,获取文件流并修改文件
cpych的专栏
10-11 4707
参考并感谢 Java 读取图片文件的类型(MimeType) - 煮过的花朵 - 博客园 仅针对部分图片格式进行处理,其他文件类型可以自行补充。 import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream;
Java根据byte[]内容获取文件类型
leon-这个程序员不闷骚的博客
02-21 293
Java在没有文件后缀和类型情况下根据byte[]内容获取文件类型和后缀
JAVA判断文件类型,通过文件头信息判断是什么文件类型
weixin_44723016的博客
08-24 1701
在物流项目中,创建订单后接口方会返回一个订单的标签数据,有时候是PDF文件,有时候是图片文件,有时候是报错信息,并且是直接以流的形式返回,错误信息变化太多,无法直接通过错误信息进行返回信息判断
Python 判断文件是否存在,存在则删除
桃子小迷妹
09-22 7603
# filepath为文件路径 import os # 判断文件是否存在 if (os.path.exists(filepath)) : #存在,则删除文件 os.remove(filepath)
JAVA接收Byte字节数组判断文件是否什么图片类型
FourAu的博客
03-27 2153
Java 中,我们可以通过解析图片字节数据的前几个字节来获取图片的类型,通常我们称之为文件的“魔数”。例如,JPEG 图片的前两个字节的十六进制表示是 “FF D8”,PNG 图片的前八个字节的十六进制表示是 “89 50 4E 47 0D 0A 1A 0A”。需要注意的是,将图片转换为不同的格式可能会导致图片质量的降低。同时,如果需要处理多个图片,需要为每个图片生成不同的临时文件来避免文件名冲突。如果你需要对图片进行格式转换,建议使用专业的图片处理工具来进行转换,以保证图片质量和大小的最优化。
【杂记】java 读取未知文件大小,实现byte[]数组的动态扩容
搬砖.......
10-26 402
byte数据动态扩容
JAVA根据文件判断文件类型是否是doc/docx/pdf
夏诗鸢的博客
03-30 3379
【代码】JAVA根据文件判断文件类型是否是doc/docx/pdf。
java 根据文件流获取文件类型的几种方式
Memory166的博客
12-15 5286
获取文件类型
Java实现文件拆分合并
04-09
拆分第一个文件时,根据平均字节数往后取给定的大约行字节数的字节,然后循环字节判断是否为\r或者\n,如果字节为\r或者\n则代表到达行末尾,记录行尾字节位置。知道了开头字节位置与结束字节位置,就可以将此位置...
java通过文件头内容判断文件类型
04-22
java通过文件头内容判断文件类型
java 编写文件上传类简单易用
12-28
Java 编写的、协议和平台都独立的服务器端组件,使用请求/响应的模式,...第二步判断是否是一个文件数据段,如果是一个文件 数据段则 position[1] 应该大于0,并且 postion[1] 应该小于 postion[2] 即 position[1...
java源码包---java 源码 大量 实例
04-18
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
【02-数据类型与运算符】
07-03
 •Java 的基本数据类型可以分为两大类: boolean 类型 和 数值类型.  •而数值类型又可以分为整型和浮点型  –整型包括:byte short int long(广义的整型包括char型)  –在内存中各占:1,2,4,8个字节, 各有各...
关于Ribbon在SpringCloudAlibaba2021.1版本中,找不到服务实例
aoxiaojun的博客
04-12 437
关于Ribbon在SpringCloudAlibaba2021.1版本中,找不到服务实例
java面向对象.day21(继承02--super)
BaiZhuYuan的博客
04-14 721
super===父this===当前使用super时,首先要继承父类,其次是在子类里面才能使用super。继承父类后,运行子类时会同时调用父类的构造方法,如果要显性调用父类的构造方法必须在子类的第一行调用。单使用super()表示调用父类构造方法,单使用this()表示调用本身的构造方法。父类具有有参的构造方法时,并且没有显性无参构造方法,那么子类要使用时必须直接调用父类的有参构造方法,
Ubuntu部署jmeter与ant
weixin_71807218的博客
04-12 983
为了整合的持续集成工具,我将jmeter与ant都部署在了Jenkins容器中,并配置了build.xml1:先下载jdk-8u74-linux-x64.tar.gz,上传到服务器,这里上传文件用到了ubuntu 下的​2:解压tar包。执行 tar -xvf jdk-8u74-linux-x64.tar.gz ,解压jdk包,生成 jdk1.8.0_74 目录​3:配置环境变量在最后面增加两行执行命令:source /etc/profile,配置的环境变量生效。
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
最新发布
qq_251836457的博客
04-18 217
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
java实现根据文件字节流判定文件类型
06-13
如果需要更可靠的方式来判断文件类型,可以使用开源库 Apache Tika。Apache Tika 是一个用于检测和提取元数据的工具包,可以识别超过 1500 种不同的文件格式。以下是使用 Apache Tika 判断文件类型的示例代码: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值