htmlparser的一处危险用法

最新推荐文章于 2021-09-05 11:28:21 发布

原创最新推荐文章于 2021-09-05 11:28:21 发布 · 187 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#htmlparser #java #漏洞

安全专栏收录该内容

10 篇文章

订阅专栏

本文介绍了一个关于HTMLParser的安全隐患，当使用其构造函数解析用户提供的字符串时，可能会导致读取服务器上的敏感文件，如/etc/passwd。此问题源于htmlparser库内部调用了允许读取本地文件的功能。

最近通过同事的一次测试，正好发现了htmlparser的一处危险用法。姑且记录在博客里面，如果你恰好也用到了htmlpaser,可以检查一下自己的代码。
htmlparser(主页地址)是一个用的比较广泛的java解析html的库。
如下的代码使用会带来问题：

 import org.htmlparser.Parser;
        ......
        Parser parser = newParser(content);
        ......

使用parser的string参数类型的构造函数，如果其中的content可以被用户或者外界手工指定时，
当用户传入"../../...../etc/passwd"时就有可能读出其中的内容。
具体原因在于htmlparser调用了ConnectionManager这个类，其中

public URLConnection openConnection (String string)
        throws
            ParserException
    {
        final String prefix = "file://localhost";
        ......

给出了读本地文件的能力。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

dingodingy

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

XSS防御方法

墨痕诉清风的博客

03-14

2683

XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施，比如Firefox的CSP，Noscript扩展，IE8内置的XSS Filter等。而对于网站来说，也应该寻找优秀的解决方案，保护用户不被XSS攻击。 1）HttpOnly HttpOnly最早是由微软提出，并在IE 6中实现的，至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格来说，HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的Cookie劫持。一个C

利用pam模块passwdqc限定linux用户密码强度

dingo的小黑屋

11-20

3872

限定linux上的root密码强度本身就是一个伪命题。root用户可以直接操作/etc/shadow 修改密码。之所以要这么搞主要还是为了稍微提高一下系统的安全性，毕竟不是人人都知道shadow的改法。 windows也类似，可以通过修改注册表的方式修改密码，但是windows的安全策略依然有密码强度的选项。之所以选择passwdqc，是因为网上找了一下，发...

参与评论您还未登录，请先登录后发表或查看评论

HTML 介绍与基本标签

dingo12345的博客

07-26

225

1. Html概念 Hyper Text Markup Language,超文本标记语言超文本：网页文件本身是一个文本文件，而超文本指的是网页中包含的图片、超链接、音频、视频等内容超出了文本的范畴。标记语言：一种将文本以特殊的文本进行标识的语言。标记就是标签 html需要浏览器解析浏览网页开发网页三剑客：DreamWe...

Dingoapi的使用

小信的博客

09-05

2370

安装 Dingo 能为Laravel提供一整套包括从路由，到认证的RESTful API开发工具 Dingoapi的安装命令 composer require dingo/api 有时候会有内存限制，同时内存不足，就可以使用临时提高内存命令 COMPOSRT MEMORY_LIMIT=-1 由于在laravel安装的插件都会放到vendor目录中，而且这个目录是对外不可见的，所以，需要使用命令将API的配置文件发布到config下 php artisan vendor:publish --provide

Dingo API 自动生成接口文档 php artisan api:docs

小乔流水仁家的博客

12-09

1130

只有 Laravel 5.1 及以上版本和 Lumen 5.1 及以上版本可以使用默认的，这个命令将把文档输出到stdout中，你可以使用管道将这个文件存储到一个文件中或者推送到服务器上。例子将以下内容放到控制器的定义方法上面测试： /** * 注册用户 * * 使用 `username` 和 `password` 注册用户。 * ...

Laravel & Lumen RESTFul API 扩展包：Dingo API（三） —— Response（响应）

技术需要沉淀，兴国需要科技！

03-30

1548

一个API的功能主要是获取请求并返回响应给客户端，响应的格式是多样的，比如JSON，返回响应的方式也是多样的，这取决于当前构建的API的复杂度以及对未来的考量。返回响应最简单的方式是直接从控制器返回数组或对象，但不是每个响应对象都能保证格式正确，所以你要确保它们实现了ArrayObject或者Illuminate\Support\Contracts\ArrayableInterface接口： class UserController { public function index() ...

dingo php,Laravel+Dingo/Api 自定义响应的实现

weixin_39604092的博客

03-27

176

在最近的开发开发项目中，我使用了Dingo/Api这个第三方Api库。Dingo是个很强大的Api库，但在开发的过程中，需要自定义响应字段。刚开始使用Ding/Api时，返回如下：{"message": "422 Unprocessable Entity","errors": {"mobile": ["手机号格式不正确"]},"status_code": 422}这是输入字段验证错误时，Ding...

一个超神级框架——Hutool工具类应有尽有！

猫头虎技术团队：授渔优于赠鱼，兴趣引领智慧，探索之乐尤显珍贵。商务合作+：Libin9iOak ，万粉变现+：优快云WF，猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务！全网搜：猫头虎技术团队，点击文章底部名片或直接私信我一切皆可谈，快找虎哥！

06-20

1211

前言 Hutool 谐音 “糊涂”，寓意追求 “万事都作糊涂观，无所谓失，无所谓得” 的境界。 Hutool 是一个 Java 工具包，也只是一个工具包，它帮助我们简化每一行代码，减少每一个方法，让 Java 语言也可以 “甜甜的”。Hutool 最初是我项目中 “util” 包的一个整理，后来慢慢积累并加入更多非业务相关功能，并广泛学习其它开源项目精髓，经过自己整理修改，最终形成丰富的开源工具集。（抄自作者简介）目录前言功能ConvertDateUtilStrUtilClassPathResource

[319]使用python将markdown和html互转

周小董

07-12

5729

Python-Markdown是一个用于解析和转换Markdown文档的Python库。它可以将Markdown文本转换为HTML或其他格式，并提供了一些方便的工具和扩展来扩展Markdown的功能。Python-Markdown的目标是提供一种灵活而易于使用的方式来处理和生成Markdown文档，可以专注于内容而不必担心文档的样式和排版。Python-Markdown支持自定义扩展，可以根据需求添加额外的Markdown标记和功能。# 自定义扩展类# Markdown文本。

WEB安全实战XSS 攻击的另外一种解决方案（推荐）

carson2440的专栏

01-03

1181

转载自: http://blog.youkuaiyun.com/happylee6688/article/details/41314351 序说到 XSS 攻击，前边已经有两篇文章在讲这个事了，这次又拿出来说，主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢？为什么又要换解决方案？下面就详细的跟大家分享一下。旧方案公司的测试团队发现这个问

基于HTMLParser的Python XSS过滤器净化HTML并清除JavaScript

例如，在 `handle_starttag` 方法中，程序会提取标签名和属性字典，然后根据预设的安全白名单判断哪些标签可以保留（如 `<p>`, ` `, `<strong>`, `` 等），并进一步检查每个属性是否属于<em>危险类型。...

HTMLParser进阶教程：自定义解析器的构建与实践

# 1. HTMLParser基础介绍 ## 1.1 HTMLParser的定义和作用 HTMLParser是一套用于解析HTML文档并从中提取信息的工具库。在网页爬虫、数据抓取和网站监控等场景中扮演着至关重要的角色。通过将HTML文档解析成有结构的...

HTMLParser安全指南：防范解析中的安全风险全攻略

![python库文件学习之HTMLParser]...然而，它的不当使用可能会引发一系列网络安全问题。在本章中，我们将探讨HTMLParser的基本概念、它在网络安全中的作用以及如何正确认识和使用HTMLParser以

class MyHTMLParser(HTMLParser):#继承HTMLParser类 ctag = False #当前解析的标签是否为内容所在的标签 #1.确定位置 def handle_starttag(self, tag, attrs): print('begin a tag:' + tag) #跟踪标签的处理过程，打印开始标签 if tag == 'h1': #要提取的信息在<h1>标签中 for attr in attrs: print(attr[0]) if attr[1] == 'center': #要提取的标签中具有center属性 self.ctag = True #找到符合条件的标签 break中self.ctag的作用

最新发布

03-10

HTMLParser是一个用于解析HTML文档的基类，用户可以通过继承它并重写方法（如handle_starttag, handle_endtag, handle_data）来处理不同的标签和内容。自定义解析器时，通常需要跟踪当前解析的状态，比如是否在某个...

cve-2010-1622 漏洞全分析

dingo的小黑屋

03-10

3403

这是大概两年前刚学习spring源码的时候写的一篇文章。一直没发出来，最近有点时间，整理下发在了博客上。by dingo 一、简介 Cve-2010-1622是spring框架在2010年被发现的一个漏洞(我知道很古老)，该漏洞可以让攻击者通过url等方式注入自己的代码，并在服务端执行。如果服务器权限设置不当，甚至可以让攻击者执行自定义的任意代码。二、准备 ...

齐博CMS的sql注入漏洞学习

dingo的小黑屋

03-26

1398

今天看到了asrc上面对某个cms的漏洞分析的文章(http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.96tpib&id=13 ),感觉阿里大牛在写漏洞分析的时候还是有点谨慎，利用方式什么就更不能说了。百度搜了一下这个CMS，使用量还是不小的。对php不太懂，简单学习了一下，并且总结了利用方式。 ...

springxml外部注入漏洞(CVE-2013-4152)

dingo的小黑屋

11-05

745

8月22号spring爆了一个xml外部注入漏洞(CVE-2013-4152)，漏洞链接： http://www.nsfocus.net/vulndb/24471 这个其实是一个比较老的xml注入漏洞，不仅仅是 java, php和python等一些语言的xml解析库都受影响。简单描述就是：如果应用有这样的功能 —— 程序从外部获取用户控制的xml，并且解析这些xml，由于xml中可以...

cve-2012-4681的分析记录

dingo的小黑屋

11-05

699

一、简介 cve-2012-4681是去年8月份爆出的java沙盒的漏洞。漏洞是利用java的特性，从受限制的沙盒代码中调用系统信任的代码，间接修改了java.beans.Statement类的参数 [code="java"]private final AccessControlContext acc = AccessController...

花一周的空余时间写一个jsp的webshell

dingo的小黑屋

01-14

319

[color=red]请勿用于网站攻击等非法行为，造成的后果一律与本人无关。[/color] 其实本来想好好搞的，结果写了一半发现有更好更全的，还是不要重复造轮子了。连美化都没有美化 :cry: 基本功能: 1、文件管理(浏览，删除，编辑，上传下载，重命名，新建目录和文件等) 2、数据库连接 3、端口扫描 4、命令执行感觉比较好的地方： 1、端口扫描采用了多线程的...