在审计文件读取功能的时候要非常仔细,或许很容易就会有意想不到的收获!快速发现这类漏洞得方式其实也是非常简单的,在IDEA中的项目中重点搜下如下文件读取的类。
- JDK原始的
java.io.FileInputStream、java.io.FileOutputStream类; - JDK原始的
java.io.RandomAccessFile类; - Apache Commons IO提供的
org.apache.commons.io.FileUtils类; - JDK1.7新增的基于NIO非阻塞异步读取文件的
java.nio.channels.AsynchronousFileChannel类; - JDK1.7新增的基于NIO读取文件的
java.nio.file.Files类。常用方法如:Files.readAllBytes、Files.readAllLines; java.io.File类的list、listFiles、listRoots、delete方法;
除此之外,还可以搜索一下FileUtil/FileUtils很有可能用户会封装文件操作的工具类。
若有收获,就点个赞吧
0 人点赞
