java中Runtime.exec()可能带来的命令注入安全问题的解决办法

最新推荐文章于 2025-05-16 21:59:40 发布
原创 最新推荐文章于 2025-05-16 21:59:40 发布 · 4.7k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #命令注入 #windowscodec #encoder #runtime.exec

    我们在使用Runtime.getRuntime().exec()的时候,可以指定一个命令或者脚本,让它执行,类似于调用系统指令来进行完成一项任务。

    但是这个方法如果有安全检查,它会被报出一个Command Injection的风险,也就是命令注入的风险,因为命令可能是外部传入,这个时候,正常的命令都不会有任何问题,但是如果被人恶意指定,比如删除系统服务,删除一些特定目录等的操作,就可能造成非常严重的后果。

    所以,一般对于Runtime.exec()这里,需要使用一些安全框架来进行安全检查,一般推荐使用的是 org.owasp.esapi 下的esapi库来进行过滤。

    首先引入依赖:

<dependency>
   <groupId>org.owasp.esapi</groupId>
   <artifactId>esapi</artifactId>
   <version>2.5.1.0</version>
</dependency>

    除此之外,在java中使用,一定要额外引入三个配置文件,它们分别是:ESAPI.properties,validation.properties,esapi-java-logging.properties 。这三个属性配置文件缺一不可,缺少任何一个都会报错。地址在这里:https://github.com/ESAPI/esapi-java-legacy/tree/develop/configurat

最低0.47元/天 解锁文章

200万优质内容无限畅学
JAVA外部程序调用(Runtime.getRuntime().exec
weixin_61747880的博客
06-13 5129
JAVA外部程序调用(Runtime.getRuntime().exec
Java Runtime.exec()的使用
weixin_34007879的博客
02-16 982
Sun的doc里其实说明还有其他的用法: exec(String[] cmdarray, String[] envp, File dir) Executes the specified command and arguments in a separate process with the specified environment and working directory. ...
exec()函数因$imagePath参数导致的命令注入漏洞
最新发布
whf1215847706的专栏
05-16 446
针对PHP中exec()函数因。
runtime.exec()
weixin_34080903的博客
10-04 363
Processexec(Stringcommand) 在单独的进程中执行指定的字符串命令。Processexec(String[]cmdarray) 在单独的进程中执行指定命令和变量。Processexec(String[]cmdarray, String[]envp) 在指定环境的独立进程中执行指定...
Runtime.exec的一些事
opencn8的专栏
02-19 969
Runtime.exec的一些事   0 预备知识 1 不正确的调用exitValue 2不正确的调用waitFor 3 一种可接受的调用方式 4 调用认为是可执行程序的时候容易发生的错误 5 window执行的良好示例 6 不良好的重定向命令输出 7 良好的重定向输出示例 8 总结 9 问答   0 预备知识 Runtime类是一个与JVM运行时环境有关的Single
java runtime.exec() 的编写
xymyeah
11-10 2531
java runtime.exec() 的编写  那就首先说点Runtime类吧,他是一个与JVM运行时环境有关的类,这个类是Singleton的。我说几个自己觉得重要的地方。1、Runtime.getRuntime()可以取得当前JVM的运行时环境,这也是在Java中唯一一个得到运行时环境的方法。2、Runtime上其他大部分的方法都是实例方法,也就是说每次进行运行时调用时都要用
Java使用Runtime.exec()给Windows命令提示符做了个外壳,真的很山寨!
04-23
Java编程中,`Runtime.exec()`方法是一个非常实用的功能,它允许我们执行操作系统级别的命令。这篇博客"Java使用Runtime.exec()给Windows命令提示符做了个外壳,真的很山寨!"探讨了如何利用`Runtime.exec()`来...
Runtime.getruntime.exec注意事项
qq_31564573的博客
04-29 542
runtime.getruntime.exec() 执行不返回值。执行文件下执行命令
java通过Runtime.getRuntime().exec调用python脚本解决bug总结
From_Nowon的博客
03-08 1983
前提环境: 操作系统:MAC OS Python脚本:OpenCV中最简单的图像缩放程序 java运行环境:Springboot+IDEA+jdk1.8 话不多说,直接上执行成功代码 //测试代码 import org.junit.jupiter.api.Test; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.boot.test.context.SpringBootTest; impo
【代码审计】命令注入和代码注入
TeamsSix 的 优快云 空间
11-21 4949
0x01 命令注入 在开发过程中,开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令,这时如果执行的命令用户可控,就会导致命令执行漏洞。 1、示例 当命令可控时,就可能会导致命令注入,例如以下代码: String cmd = request.getParameter("cmd"); Runtime.getRuntime().exec(cmd); 这种漏洞原理很简单,主要就是找到执行系统命令的函数,看命令是否可控。 java 程序中执行系统命令的函数如下: Runtime.exec Process
Runtime.exec()
CoderRobin的专栏
10-19 185
最近老是和Runtime.exec()打交道。遇到了不少麻烦。从网上搜了不少方法还好一一解决的。现在总结一下吧。最经典的介绍Runtime.exec()的文章是 Michael C. Daconta 的When Runtime.exec() won’t好吧,他老人家还没有把Runtime.exec()的使用说完全。我来补充下吧。 Sun的doc里其实说明还有其他的用法:exec(String[]...
调用Runtime.exec()的一些陷阱
给生活加点盐
11-12 1438
Runtime 封装着java程序的运行时环境。通过Runtime实例,java应用能够与其运行的环境连接。Runtime在jvm中保持一个单例,所以不能通过Runtime类的构造函数。只能通过Runtime.getRuntime()来获的当前Runtime的一个实例。获得Runtime实例后,就可以通过Runtimeexec()方法在当前jvm进程外启动其他进程了。很常见的一个应用就是...
Java命令注入_java代码审计 命令注入 及 修复建议
weixin_42416398的博客
02-12 1294
命令注入:是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。命令注入漏洞主要表现为以下两种形式:1、攻击者能够算改程序执行的命令:攻击者直接控制了所执行的命令。2、攻击者能够复改命...
java代码审计 命令注入 及 修复建议
dilamo1968的博客
08-30 1154
命令注入: 是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。 命令注入漏洞主要表现为以下两种形式: 1、攻击者能够算改程序执行的命令:攻击者直接控...
JavaRuntime.exec的一些事
乘风而来的思绪
09-09 317
0 预备知识 1 不正确的调用exitValue 2不正确的调用waitFor 3 一种可接受的调用方式 4 调用认为是可执行程序的时候容易发生的错误 5 window执行的良好示例 6 不良好的重定向命令输出 7 良好的重定向输出示例 8 总结 9 问答   0 预备知识 Runtime类是一个与JVM运行时环境有关的Singleton类,有以下几个值得注意的地方: 0...
1.3. exec 运行shell
weixin_33716941的博客
12-25 206
exec(String[] cmdarray, String[] envp, File dir) Executes the specified command and arguments in a separate process with the specified environment and working directory. 那个dir就是调...
Runtime.getRuntime().exec()解决命令注入攻击的具体java代码示例吗
06-06
当使用`Runtime.getRuntime().exec()`方法执行外部命令时,需要注意输入的参数是否包含非法字符,否则可能会导致命令注入攻击。以下是一些基于Java解决方案的示例代码,可以帮助您防止命令注入攻击: 1. 使用ProcessBuilder来构造命令,而不是使用`Runtime.getRuntime().exec()`方法: ```java String[] command = { "/bin/sh", "-c", "ls -l" }; ProcessBuilder pb = new ProcessBuilder(command); Process process = pb.start(); ``` 2. 对用户输入进行输入验证和过滤,例如使用正则表达式或其他过滤器来检查输入是否包含非法字符: ```java String userInput = request.getParameter("input"); if (userInput.matches("^[a-zA-Z0-9]+$")) { String[] command = { "/bin/sh", "-c", "ls -l " + userInput }; Process process = Runtime.getRuntime().exec(command); } ``` 在此示例中,使用正则表达式检查输入是否只包含字母和数字。如果是,则构造命令并执行,否则不执行。 3. 使用Java Security Manager来限制应用程序的权限: ```java // 创建安全管理器 SecurityManager sm = System.getSecurityManager(); if (sm != null) { // 禁止执行外部命令 sm.checkExec("/bin/sh"); } // 构造命令并执行 String[] command = { "/bin/sh", "-c", "ls -l" }; Process process = Runtime.getRuntime().exec(command); ``` 在此示例中,使用Java Security Manager来限制应用程序的权限,禁止执行`/bin/sh`命令。如果要执行其他命令,则需要在安全管理器中进行相应的授权。 总之,使用`Runtime.getRuntime().exec()`方法时,需要小心处理用户输入和权限问题,以防止命令注入攻击。以上是一些示例代码,可以帮助您防止这种类型的攻击。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luffy5459

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值