htmlparser的一处危险用法

最新推荐文章于 2021-09-05 11:28:21 发布
最新推荐文章于 2021-09-05 11:28:21 发布
阅读量137 收藏
点赞数
分类专栏: 安全 文章标签: htmlparser java 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dingodingy/article/details/84498964
版权
最近通过同事的一次测试,正好发现了htmlparser的一处危险用法。姑且记录在博客里面,如果你恰好也用到了htmlpaser,可以检查一下自己的代码。
htmlparser(主页地址)是一个用的比较广泛的java解析html的库。
如下的代码使用会带来问题: 
 import org.htmlparser.Parser;
        ......
        Parser parser = newParser(content);
        ......

使用parser的string参数类型的构造函数,如果其中的content可以被用户或者外界手工指定时,
当用户传入"../../...../etc/passwd"时就有可能读出其中的内容。
具体原因在于htmlparser调用了ConnectionManager这个类,其中 

public URLConnection openConnection (String string)
        throws
            ParserException
    {
        final String prefix = "file://localhost";
        ......

给出了读本地文件的能力。
dingodingy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS防御方法
墨痕诉清风的博客
03-14 2358
XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格来说,HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的Cookie劫持。 一个C
HTML 介绍与基本标签
dingo12345的博客
07-26 199
1. Html概念 Hyper Text Markup Language,超文本标记语言 超文本:网页文件本身是一个文本文件,而超文本指的是网页中包含的图片、超链接、音频、视频等内容超出了文本的范畴。 标记语言:一种将文本以特殊的文本进行标识的语言。 标记就是标签 html需要浏览器解析浏览 网页开发 网页三剑客:DreamWe...
Dingoapi的使用
小信的博客
09-05 2122
安装 Dingo 能为Laravel提供一整套包括从路由,到认证的RESTful API开发工具 Dingoapi的安装命令 composer require dingo/api 有时候会有内存限制,同时内存不足,就可以使用临时提高内存命令 COMPOSRT MEMORY_LIMIT=-1 由于在laravel安装的插件都会放到vendor目录中,而且这个目录是对外不可见的,所以,需要使用命令将API的配置文件发布到config下 php artisan vendor:publish --provide
Laravel & Lumen RESTFul API 扩展包:Dingo API(三) —— Response(响应)
技术需要沉淀,兴国需要科技!
03-30 1448
一个API的功能主要是获取请求并返回响应给客户端,响应的格式是多样的,比如JSON,返回响应的方式也是多样的,这取决于当前构建的API的复杂度以及对未来的考量。 返回响应最简单的方式是直接从控制器返回数组或对象,但不是每个响应对象都能保证格式正确,所以你要确保它们实现了ArrayObject或者Illuminate\Support\Contracts\ArrayableInterface接口: class UserController { public function index() ...
Dingo API 自动生成接口文档 php artisan api:docs
小乔流水仁家的博客
12-09 1070
只有 Laravel 5.1 及以上版本和 Lumen 5.1 及以上版本可以使用 默认的,这个命令将把文档输出到stdout中,你可以使用管道将这个文件存储到一个文件中或者推送到服务器上。 例子 将以下内容放到控制器的定义方法上面测试: /** * 注册用户 * * 使用 `username` 和 `password` 注册用户。 * ...
dingo php,Laravel+Dingo/Api 自定义响应的实现
weixin_39604092的博客
03-27 130
在最近的开发开发项目中,我使用了Dingo/Api这个第三方Api库。Dingo是个很强大的Api库, 但在开发的过程中,需要自定义响应字段。刚开始使用Ding/Api时,返回如下:{"message": "422 Unprocessable Entity","errors": {"mobile": ["手机号格式不正确"]},"status_code": 422}这是输入字段验证错误时,Ding...
一个超神级框架​——Hutool工具类​应有尽有!
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
06-20 922
前言 Hutool 谐音 “糊涂”,寓意追求 “万事都作糊涂观,无所谓失,无所谓得” 的境界。 Hutool 是一个 Java 工具包,也只是一个工具包,它帮助我们简化每一行代码,减少每一个方法,让 Java 语言也可以 “甜甜的”。Hutool 最初是我项目中 “util” 包的一个整理,后来慢慢积累并加入更多非业务相关功能,并广泛学习其它开源项目精髓,经过自己整理修改,最终形成丰富的开源工具集。(抄自作者简介) 目录前言功能ConvertDateUtilStrUtilClassPathResource
WEB安全实战XSS 攻击的另外一种解决方案(推荐)
carson2440的专栏
01-03 1117
转载自: http://blog.csdn.net/happylee6688/article/details/41314351 序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢?为什么又要换解决方案?下面就详细的跟大家分享一下。 旧方案 公司的测试团队发现这个问
Web安全及XSS(一)
u011141492的博客
04-21 2218
浏览器同源策略 https CSP XSS X-XSS-Protection CSRF clickjacking X-Frame-Options 书籍推荐: Web前端黑客技术揭秘 和 白帽子讲Web安全 showcase15
htmlparser
07-02
htmlparser [1] 是一个纯的java写的html(标准通用标记语言下的一个应用)解析的库,它不依赖于其它的java库文件,主要用于改造或提取html
Python HTML解析模块HTMLParser用法分析【爬虫工具】
09-19
以下是一个简单的示例,展示了如何使用HTMLParser来抓取网页中的图片链接: ```python from html.parser import HTMLParser from urllib import request class MyHTMLParser(HTMLParser): def __init__(self): ...
HTMLParser
11-26
android解析html网页源代码,一个android开源项目
HTMLparser用法示例
06-23
`HTMLParser`支持多次调用`feed`方法,每次添加一部分数据,直到整个文档都被解析。 9. **其他方法**: 还有其他一些方法,如`handle_charref`和`handle_entityref`,用于处理字符引用和实体引用,以及`handle_...
利用pam模块passwdqc限定linux用户密码强度
dingo的小黑屋
11-20 3665
限定linux上的root密码强度本身就是一个伪命题。root用户可以直接操作/etc/shadow 修改密码。之所以要这么搞主要还是为了稍微提高一下系统的安全性,毕竟不是人人都知道shadow的改法。 windows也类似,可以通过修改注册表的方式修改密码,但是windows的安全策略依然有密码强度的选项。 之所以选择passwdqc,是因为网上找了一下,发...
cve-2010-1622 漏洞全分析
dingo的小黑屋
03-10 3152
这是大概两年前刚学习spring源码的时候写的一篇文章。一直没发出来,最近有点时间,整理下发在了博客上。by dingo   一、简介        Cve-2010-1622是spring框架在2010年被发现的一个漏洞(我知道很古老),该漏洞可以让攻击者通过url等方式注入自己的代码,并在服务端执行。如果服务器权限设置不当,甚至可以让攻击者执行自定义的任意代码。   二、准备 ...
齐博CMS的sql注入漏洞学习
dingo的小黑屋
03-26 1303
       今天看到了asrc上面对某个cms的漏洞分析的文章(http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.96tpib&id=13 ),感觉阿里大牛在写漏洞分析的时候还是有点谨慎,利用方式什么就更不能说了。        百度搜了一下这个CMS,使用量还是不小的。对php不太懂,简单学习了一下,并且总结了利用方式。 ...
springxml外部注入漏洞(CVE-2013-4152)
dingo的小黑屋
11-05 616
8月22号spring爆了一个xml外部注入漏洞(CVE-2013-4152),漏洞链接: http://www.nsfocus.net/vulndb/24471 这个其实是一个比较老的xml注入漏洞,不仅仅是 java, php和python等一些语言的xml解析库都受影响。 简单描述就是:如果应用有这样的功能 —— 程序从外部获取用户控制的xml,并且解析这些xml,由于xml中可以...
cve-2012-4681的分析记录
dingo的小黑屋
11-05 572
一、简介 cve-2012-4681是去年8月份爆出的java沙盒的漏洞漏洞是利用java的特性,从受限制的沙盒代码中调用系统信任的代码,间接修改了java.beans.Statement类的参数 [code="java"]private final AccessControlContext acc = AccessController...
使用htmlparser Java爬虫代码示例
"使用Javahtmlparser库进行网页数据抓取的基本示例代码" 在Java编程中,HTMLParser是一个用于解析HTML文档的库,它可以帮助开发者从网页中提取所需的数据。这个例子展示了一个简单的程序,它从指定的URL下载HTML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值