欢迎来到Doc100.Net免费学习资源知识分享平台!
您的位置:首页 > 程序异常 >

htmlparser的一处风险用法

更新时间: 2014-01-05 00:53:19 责任编辑: Author_N1

 

htmlparser的一处危险用法
   最近通过同事的一次测试,正好发现了htmlparser的一处危险用法。姑且记录在博客里面,如果你恰好也用到了htmlpaser,可以检查一下自己的代码。
        htmlparser(主页地址)是一个用的比较广泛的java解析html的库。
        如下的代码使用会带来问题:
      
 import org.htmlparser.Parser;
        ......
        Parser parser = newParser(content);
        ......

        使用parser的string参数类型的构造函数,如果其中的content可以被用户或者外界手工指定时,
当用户传入"../../...../etc/passwd"时就有可能读出其中的内容。
        具体原因在于htmlparser调用了ConnectionManager这个类,其中
       
public URLConnection openConnection (String string)
        throws
            ParserException
    {
        final String prefix = "file://localhost";
        ......

      给出了读本地文件的能力。
上一篇:上一篇
下一篇:下一篇

 

随机推荐程序问答结果

 

 

如对文章有任何疑问请提交到问题反馈,或者您对内容不满意,请您反馈给我们DOC100.NET论坛发贴求解。
DOC100.NET资源网,机器学习分类整理更新日期::2014-01-05 00:53:19
如需转载,请注明文章出处和来源网址:http://www.doc100.net/bugs/t/1032/
本文WWW.DOC100.NET DOC100.NET版权所有。