Валидация файлов изображения на NodeJS?

Question

[Андрей]

Как проверить, что загружаемый файл является изображением (или чем-то другим)?

Простая проверка mimetype или расширения обходится банальным переименованием файла.
Вот здесь коллега рекомендует проверять некие "магические числа". Насколько я понимаю, это примерно то же самое, что делает модуль file-type, который проверяет

if (check([0xFF, 0xD8, 0xFF])) {
		return {
			ext: 'jpg',
			mime: 'image/jpeg'
		};
	}

Насколько вообще надежна такая проверка?
Что мешает злоумышленнику добавить нужные символы в начало файла?

Плюс еще одна проблема: так как на сервер приходят данные в формате multipart form и файл там присутствует не как поток, а как объект File, то придется сначала закачать файл, затем проверить и уже потом удалить, если что-то не так - именно такое решение предлагается по ссылке выше. Мне кажется это как-то не очень...

Поделитесь пожалуйста своими наработками по проверке загружаемых файлов.

Comments

[Андрей]

Михаил Евдокимов: Михаил, спасибо за статью! Я не в коем случае Вас не упрекаю в чем-то, наоборот, привел Ваше решение как пример, причем одно из немногих, если вообще не единственное, найденное мной.

На самом деле я вчера кое-что еще почитал по этому поводу из смежных языков (конкретно для JS все плохо) и сделал такие выводы:
- проверка первых байтов в помогает только определить тип изображения, в случае, если по какой-то причине у него изменен mime-type. В плане безопасности эта проверка практически бесполезна.
- если у файла проблемы с mime-type/расширением, его лучше вообще не принимать.
- загруженный файл необходимо переименовать, чтобы у злоумышленника небыло возможности обратиться к нему.
- загруженный файл не использовать, а нарезать из него изображений нужных размеров
- если загруженный файл по размерам соответствует требованиям, то надо уменьшить его на один пиксель, а потом увеличить.
- в процессе сжатия/обрезки файл с "левым" кодом скорее всего не будет преобразован и обработчик изображений выдаст ошибку - значит загруженный файл проблемный и его надо удалить
- даже если файл был преобразован без ошибки (ну мало ли), сжатие/обрезка "убьют" потенциально вредоносный код внутри и сделают его нерабочим

[Андрей]

Михаил Евдокимов: Михаил, а добавьте пожалуйста это сообщение как ответ, а не как комментарий, чтобы я мог его отметить ответом. Я думаю, это лучшее, что можно придумать в рамках этой задачи.

[Андрей]

Михаил Евдокимов:

"А нам что надо? Сохраняем где нибудь несколько magic чисел только для нужных нам типов файлов и проверяем по этому списку. Эти первые байты они ведь уникальны для каждого типа файла (на сколько я знаю). А если злоумышленник добавит в начало какие то другие данные просто от балды то вряд ли с этим "вредоносным" файлом в дальнейшем вообще что нибудь можно будет делать. Я конечно не специалист в ИБ и во всей этой кухне но просто мне так кажется."

На сколько я понял из этой статьи, все не совсем так. Вот цитата:

"Проверка содержания файла изображения
Вместо того, чтобы доверять заголовку Content-Type, разработчик PHP мог бы проверять фактическое содержание загруженного файла, чтобы удостовериться, что это действительно изображение.
....
Можно подумать, что теперь мы можем пребывать в уверенности, что будут загружаться только файлы GIF или JPEG. К сожалению, это не так. Файл может быть действительно в формате GIF или JPEG, и в то же время PHP-скриптом. Большинство форматов изображения позволяет внести в изображение текстовые метаданные. Возможно создать совершенно корректное изображение, которое содержит некоторый код PHP в этих метаданных. Когда getimagesize() смотрит на файл, он воспримет это как корректный GIF или JPEG. Когда транслятор PHP смотрит на файл, он видит выполнимый код PHP в некотором двоичном «мусоре», который будет игнорирован. "

Answer 1

[profesor08]

Если сомневаешься, то создай картинку на основе данного файла, если все ок, то файл был картинкой.

Comments

[yurygolikov]

А разве не может создаться битая картинка?

Answer 2

[Dimonchik]

обычно imghdr

с битыми джпегами работает неплохо, но не 100%, увы

Comments

[Андрей]

Посмотрел этот модуль, по сути то же самое, что https://github.com/sindresorhus/file-type , который я упомянул в вопросе. Кто-то велосипед написал :)
Но вопрос достаточности такой проверки по первым символям остается открытым.