最近通过同事的一次测试,正好发现了htmlparser的一处危险用法。姑且记录在博客里面,如果你恰好也用到了htmlpaser,可以检查一下自己的代码。
htmlparser(主页地址)是一个用的比较广泛的java解析html的库。
如下的代码使用会带来问题:
import org.htmlparser.Parser;
......
Parser parser = newParser(content);
......
使用parser的string参数类型的构造函数,如果其中的content可以被用户或者外界手工指定时,
当用户传入"../../...../etc/passwd"时就有可能读出其中的内容。
具体原因在于htmlparser调用了ConnectionManager这个类,其中
public URLConnection openConnection (String string)
throws
ParserException
{
final String prefix = "file://localhost";
......
给出了读本地文件的能力。
分享到:
相关推荐
META-INF/maven/org.htmlparser/htmlparser/pom.properties META-INF/maven/org.htmlparser/htmlparser/pom.xml org.htmlparser.Parser.class org.htmlparser.PrototypicalNodeFactory.class org.htmlparser.beans....
c#版htmlparser htmlparser.dll htmlparser源代码
htmlparser网络爬虫技术,通过关键字查询快速查找指定网站
HTMLParser.net源代码HTMLParser.net使用demo
htmlparser.jar htmlparser教程
htmlparser1_6.jar
htmlparser-1.2.1jar包下载htmlparser-1.2.1jar包下载
htmlparser2.0 htmlparser
HtmlParser源码及demo
HTMLParser HTML解析 HTMLParser HTML解析 HTMLParser HTML解析
关于用java写的htmlparser网页分析
HtmlParser-2.0 API ,chm格式,方便使用
Winista HtmlParser Winista HtmlParser Winista HtmlParser Winista HtmlParser
我注意好多人都说没有org.htmlparser.Node和其他的一些.class文件,这里把下载后解压出来的5个jar包全部导入工程就可以引入所需的文件了
Winista.Htmlparser.net 源代码 本资料共包含以下附件: HtmlParser c#源码+demo.rar
JAVA htmlparser 使用实例
HTMLParser使用详解