JAVA文件上传防止篡改后缀名

最新推荐文章于 2024-07-26 03:09:02 发布
原创 最新推荐文章于 2024-07-26 03:09:02 发布 · 2.2k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端

该博客介绍了如何防止用户通过修改文件后缀名进行恶意上传。通过获取文件的前20位字节码并转换为16进制字符串,然后与预定义的文件类型字节码进行比较,从而准确识别文件的真实类型,提高了系统安全性。这种方法适用于多种文件格式,包括文本、图像、音频、视频等。

记一次小技巧:

我们在做文件上传时会对比文件得后缀名比如.txt,但是假如用户恶意将其他格式得文件通过修改后缀名改为txt上传,则大大影响安全。

所以可通过文件得字节码判断文件得真实类型。

1.定义一下文件头的字节码:

//文件的字节码头
 
public enum FileType {
    /**
     * JEPG.
     */
    JPEG("FFD8FF"),
 
    /**
     * PNG.
     */
    PNG("89504E47"),
 
    /**
     * GIF.
     */
    GIF("47494638"),
 
    /**
     * TIFF.
     */
    TIFF("49492A00"),
 
    TXT("6C657420"),
 
    /**
     * Windows Bitmap.
     */
    BMP("424D"),
 
    /**
     * CAD.
     */
    DWG("41433130"),
 
    /**
     * Adobe Photoshop.
     */
    PSD("38425053"),
 
    /**
     * Rich Text Format.
     */
    RTF("7B5C727466"),
 
    /**
     * XML.
     */
    XML("3C3F786D6C"),
 
    /**
     * HTML.
     */
    HTML("68746D6C3E"),
 
    /**
     * Email [thorough only].
     */
    EML("44656C69766572792D646174653A"),
 
    /**
     * Outlook Express.
     */
    DBX("CFAD12FEC5FD746F"),
 
    /**
     * Outlook (pst).
     */
    PST("2142444E"),
 
    /**
     * MS Word/Excel.
     */
    XLS_DOC("D0CF11E0"),
 
    /**
     * MS Access.
     */
    MDB("5374616E64617264204A"),
 
    /**
     * WordPerfect.
     */
    WPD("FF575043"),
 
    /**
     * Postscript.
     */
    EPS("252150532D41646F6265"),
 
    /**
     * Adobe Acrobat.
     */
    PDF("255044462D312E"),
 
    /**
     * Quicken.
     */
    QDF("AC9EBD8F"),
 
    /**
     * Windows Password.
     */
    PWL("E3828596"),
 
    /**
     * ZIP Archive.
     */
    ZIP("504B0304"),
 
    /**
     * RAR Archive.
     */
    RAR("52617221"),
 
    /**
     * Wave.
     */
    WAV("57415645"),
 
    /**
     * AVI.
     */
    AVI("41564920"),
 
    /**
     * Real Audio.
     */
    RAM("2E7261FD"),
 
    /**
     * Real Media.
     */
    RM("2E524D46"),
 
    /**
     * MPEG (mpg).
     */
    MPG("000001BA"),
 
    /**
     * Quicktime.
     */
    MOV("6D6F6F76"),
 
    /**
     * Windows Media.
     */
    ASF("3026B2758E66CF11"),
 
    GZ("1F8B08"),
    /**
     * MIDI.
     */
    MID("4D546864");
   
}

2.获取文件字节码的前N位(因为文件类型的长度不同,所以获取前20位,如果是图片等可以只获得更少位数):


    /**
     * @description 第一步:获取文件输入流
     * @param filePath
     * @throws IOException
     */
    private static String getFileContent(String filePath) throws IOException {
 
        byte[] b = new byte[20];
        InputStream inputStream = null;
        try {
            inputStream = new FileInputStream(filePath);
            /**
             * int read() 从此输入流中读取一个数据字节。int read(byte[] b) 从此输入流中将最多 b.length
             * 个字节的数据读入一个 byte 数组中。 int read(byte[] b, int off, int len)
             *从此输入流中将最多 len 个字节的数据读入一个 byte 数组中。
             * 之所以从输入流中读取20个字节数据,是因为不同格式的文件头魔数长度是不一样的,比如 EML("44656C69766572792D646174653A")和GIF("47494638")
             * 为了提高识别精度所以获取的字节数相应地长一点
             */
            inputStream.read(b, 0, 20);
        } catch (IOException e) {
            e.printStackTrace();
            throw e;
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                    throw e;
                }
            }
        }
        return bytesToHexString(b);
    }

3.因为字节码头也是有可能被篡改的,所以将头部转换成16进制

/**
     * @description 第二步:将文件头转换成16进制字符串
     * @param
     * @return 16进制字符串
     */
    private static String bytesToHexString(byte[] src){
        StringBuilder stringBuilder = new StringBuilder();
        if (src == null || src.length <= 0) {
            return null;
        }
        for (int i = 0; i < src.length; i++) {
            int v = src[i] & 0xFF;
            String hv = Integer.toHexString(v);
            if (hv.length() < 2) {
                stringBuilder.append(0);
            }
            stringBuilder.append(hv);
        }
        System.out.println("文件类型16进制字符串是"+stringBuilder.toString());
        return stringBuilder.toString();
    }

4.对比

  /**
     * @description 第三步:根据十六进制字符串判断文件类型格式
     * @param filePath 文件路径
     * @return 文件类型
     */
    public static FileType getType(String filePath) throws IOException {
        String fileHead = getFileContent(filePath);
        if (fileHead == null || fileHead.length() == 0) {
            return null;
        }
        fileHead = fileHead.toUpperCase();
        FileType[] fileTypes = FileType.values();
        for (FileType type : fileTypes) {
//            startsWith() 方法用于检测字符串是否以指定的前缀开始
            if (fileHead.startsWith(type.getValue())) {
                return type;
            }
        }
        return null;
    }
}

防范Java应用中的恶意文件上传:确保服务器的安全性
shrgegrb的博客
05-17 1433
防范 Java 应用中的恶意文件上传是一个需要持续关注和改进的过程。通过综合运用多种策略,包括严格验证文件类型、检查文件内容、控制文件存储路径、限制文件大小以及实施服务器端安全策略,我们可以大大降低恶意文件上传的风险,保护 Java 应用和服务器的安全。在未来,随着技术的不断发展和新攻击手段的出现,我们需要保持警惕,并及时更新和强化安全措施,以应对不断变化的安全挑战。
Java防止文件篡改文件校验和
JavaBuilt的博客
03-16 9009
Java防止文件篡改文件校验和 转载:请注明出处,谢谢! 1.为什么要防止文件篡改? 答案是显然的,为了保证版权,系统安全性等。之前公司开发一个系统,技术核心是一个科学院院士的研究成果,作为一款商业软件来说,保证公司及作者版权是非常重要的。系统安全性就更不用说了,系统两三下就被搞垮了,那这个系统就不算是一个合格的系统。 2.文件校验和作用 我们都知道,一个系统...
Java篡改方式
06-18
包含各种java篡改方式,主要介绍代码混淆和加密源文件两种方式的基本原理。
Java防止文件篡改文件校验功能的实例代码
08-26
主要介绍了Java防止文件篡改文件校验功能,本文给大家分享了文件校验和原理及具体实现思路,需要的朋友可以参考下
JAVA实现对文件加锁防篡改 --《JAVA编程思想》83
BaymaxCS的博客
12-19 1781
在代码中,可以通过 synchronized 关键字对代码片段进行加锁,假设我们需要对文件进行加锁,synchronized 只能对 JAVA 执行代码进行加锁,倘若另外一个操作文件的线程是操作系统中其他的某个本地线程呢?这时仅仅通过 synchronized 关键字来加锁显然是不行的。 但好在 JDK 1.4 引入了针对本地操作系统的文件加锁机制,下面便和大家一起来学习。 public static void main(String[] args) throws IOException, Inte
常用文件类型判断(防止文件后缀被篡改
流沙QuickSand
12-20 2482
特殊情况:目前,对于文本文件(*.txt)的文件无法校验,其读取的文件字节码几乎都不一样。当然还可能存在其他的。一般而言,如果手工修改文件的后缀,其内部文件字节码是不会发生变化的,以此来作为判断的标准。判断原理:定义好常用格式的文件后缀,以及对应文件的字节码前N位,作为判断的一句。因此,工作中,定义一个简要的工具来对常用的文件格式进行校验也是必要的。以下是定义好的常用几种文件格式的校验,若有需要,可以自行增加。
java上传压缩文件限制后缀名
weixin_40876835的博客
07-26 180
Java上传压缩文件限制后缀名Java开发中,我们经常需要处理文件上传的功能。为了提高系统的安全性,我们通常会对上传的文件类型进行限制。本文将介绍如何在Java中实现上传压缩文件并限制其后缀名。 为什么要限制后缀名 限制文件后缀名可以防止恶意用户上传具有潜在风险的文件,如可执行文件或脚本文件。此外,限制后缀名还可以确保...
检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过
10-30
很多ASP程序检查上传图片是否合法往往只去检查文件的后缀,这样有一个很大的安全隐患,就是如果把ASP文件后缀名改成.jpg或者.gif上传,或者图片里加入恶意代码再上传,那也会被程序认为是图片文件而照传不误。...
上传文件文件类型(后缀)验证java
07-31
我们正在讨论Java文件上传时如何安全地验证文件类型(后缀)并防止用户恶意修改文件后缀。 关键点:不要仅仅依赖文件后缀名,因为用户可以轻易修改。通常做法是结合文件内容的魔数(Magic Number)或MIME类型检测。...
java中检查文件扩展名是否是图片
最新发布
10-10
首先,用户的问题是关于在Java...- **推荐实践**:在文件上传场景中,先检查扩展名作为第一层过滤,再结合内容验证以提高安全性。 如需处理文件内容安全,参考引用中提到的方法(如添加水印)可有效预防恶意代码[^1]。
java实现的图片防篡改功能
09-03
java实现的图片防篡改功能,采用图片hash生成唯一标识,再进行比对,判断图片是否被篡改过,可运行源码
基于Struts2实现文件上传功能详解
Struts2 实现文件上传Java Web 开发中一个非常典型且实用的功能,广泛应用于各种需要用户提交图片、文档、音频视频等资源的系统中,如内容管理系统(CMS)、电商平台、在线教育平台等。该功能基于 Struts2 框架的...
大聪明教你学Java | 比校验文件后缀名更靠谱的上传文件校验方式 —— 文件魔数校验
不肯过江东丶
08-13 1907
我们在开发应用软件的时候一定会涉及到文件上传的功能,并且我们还要对用户上传文件的合法性进行校验。在文件校验的时候,我们通常会通过文件后缀名去校验该文件是否合法,但是这样校验就会有一个弊端:如果用户上传的文件是改过文件名后缀的文件该怎么办呢🤔?(比如某个上传接口只允许上传图片,那么如果我把一个 .txt 文件的后缀改成 .jpg ,那么就可以绕过文件后缀名校验方法😥)俗话说“繁琐问题必有猥琐解法”,那么今天就给各位小伙伴介绍另外一种文件校验方式 —— 通过文件魔数值进行校验。...
java判断是否上传的文件修改后缀
小菜鸟的博客
07-09 1316
java判断是否上传的文件修改后缀 调用: //判断文件后缀名是否被修改 Result<String> originalFile = GetFileTypeUtil.getOriginalFile(file); if(!originalFile.isSuccess()){ return originalFile; } 代码: import com.hronline.commons.tools.utils.Resu
JavaWeb作业--Jsp文件上传(限制文件后缀名)
zy6648的博客
04-11 3179
upload.jsp 文件上传 选择一个文件: upload.java package abc; import java.io.*; import java.util.*; import javax.servlet.ServletException; import javax.servlet.annotation.WebS
防重、防篡改攻击的实现(Java版)
Mango的博客
12-14 5150
防重、防篡改攻击的实现(Java版)
JAVA校验文件类型
Great_est的博客
02-06 3161
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
10-java实现对上传文件做安全性检查
热门推荐
CAT
03-14 1万+
文件安全性检查
防范用户通过篡改 文件后缀名的方式欺骗服务器,使用二进制流的方式读取文件文件,将头文件转换为16 进制
ycyez的专栏
06-26 1659
package com.servlet; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; publ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值