8.IO和NIO.2的文件系统支持

7.1 使用NIO任意文件读取漏洞测试

示例 - 存在任意文件读取的NIO.2代码：

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.nio.file.Files" %>
<%@ page import="java.nio.file.Paths" %>
<pre>
<%
    try {
        byte[] bytes = Files.readAllBytes(Paths.get(request.getParameter("file")));
        out.println(new String(bytes));
    } catch (IOException e) {
        e.printStackTrace();
    }
%>
</pre>

攻击者传入恶意的file即可读取服务器中的任意文件：