Java命令注入之防护

最新推荐文章于 2024-02-25 13:34:03 发布
最新推荐文章于 2024-02-25 13:34:03 发布
阅读量1.5w 收藏 10
点赞数 2
分类专栏: 攻击与防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/raintungli/article/details/51917122
版权

1 Java中的命令注入

在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令,

Java的native调用

a. Windows是CreateProcessW 创建子进程执行命令

b. Unix中以enecve 来创建子进程执行命令

Java并没有使用system函数进行创建子进程执行命令,通常我们也知道system的函数非常容易发生注入风险,比如system(“ls “+”test;rm *”); 后面部分是用户输入的,用户输入通过注入符号;和后续指令rm *,被系统执行。

 execve, CreateProcessW 函数通过执行命令和参数分别传递的方式,这种方式杜绝了system的拼接命令的方式,有一定的安全性,但也未必是安全的。

1.1      参数直接用于命令执行

如果传入的参数对原执行命令来说是用于执行的情况下,enecve, createprocessW无法防护

1.        Windows下的

cmd.exe /K 参数可以批量执行命令

String btype = request.getParameter("inputparam");
String cmds[] = {"cmd.exe","/K","\"C: &&del C:\\r2.txt”+btype+” &&del C:\\r1.txt \""};
System.Runtime.getRuntime().exec(cmds);

虽然此时传入的参数是用于cmd.exe的,但因为cmd.exe 使用了/K参数,将后续传入的参数用于命令执行,如果传入&&del *,最后变成

cmd.exe /K “del C:\\test1.txt && del *&&del C:\\test2.txt”

 

2.        Unix 下的

  • /bin/bash 参数,输入参数直接作为命令执行

String btype = request.getParameter("test");
String cmds[] = {"/bin/bash ","test.sh"+btype};
System.Runtime.getRuntime().exec(cmds);
传入的参数作为bash直接执行的,此时如果作为参数传入;rm *,最后等效于

/bin/bash test.sh;rm *

  • /bin/bash –c 参数,后续输入参数为执行命令

String btype = request.getParameter("inputparam");
String cmds[] = {"/bin/bash ","-c","sh script.sh"+btype};
System.Runtime.getRuntime().exec(cmds);

此时传入的参数是用于bash执行脚本文件的,但因为使用了-c参数,使后续传入的参数用于命令执行,如果传入;rm *,最后等效于

/bin/bash –c “sh script.sh; rm *”

上述的例子提示只要在实际应用过程中,传入的参数(例如上例的sh script.sh;)是用于运行程序内部(例如sh -c,cmd.exe/k)执行命令的,execve,CreateProcessW函数就无法防护,此时用法等效于system(“sh script.sh;rm *”)函数


1.2       参数编码

对用于常见的用于shell执行的符号进行转码,避免命令注入的风险

字符

功能描述

Unix

Windows

|

管道:连接上个指令的标准输出,作为下个指令的标准输入

\|

^|

;

连续指令服务

\;

^;

&

后台运行

\&

^&

$

变量替换

\$

^$

重定向输入

\>

^>

目标文件内容发送到命令中

\<

^<

`

返回当前执行结果

\`

^`

\

作为连接符号用,或者转义用

\\

^\

!

执行上一条shell命令

\!

^!

例如:Unix 中

可以通过编码方式,避免命令的注入

/bin/bash script.sh\;rm *

/bin/bash –c “sh script.sh\; rm *” 

  • 多字符需要转义每个字符

比如:  >> 需要转义成\>\>

  •   编码方式的注意点:

编码是指在调用函数之前需要对参数进行编码,不需要多次编码。

比如说在某个script.sh test.sh\;rm *里面继续还有命令调用,而这个命令是用参数传入

sh $1

上述的解决方案并不是对test.sh;rm * 做两次编码,对script.sh来说传入参数test.sh;rm *只需要做一次编码,而在script.sh里需要对输入的参数$1在进行一次编码,遵循谁调用谁编码的原则。

1.3       参数过滤

  • 白名单保护

如果命令的参数是有特征性的建议使用白名单对输入的参数进行保护

比如允许[a-z][A-Z][0-9] _- 等有限的字符

 

  •  黑名单保护

a.      |;&$><`\! 可以将这些字符直接作为黑名单过滤

b.      \t\n\r\f \u0000 这些字符需要作为黑名单过滤,特别是空字符截断 \u0000 (这个在JVM6里是没有保护)


raintungli
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java命令注入_java代码审计 命令注入 及 修复建议
weixin_29374899的博客
02-12 1114
命令注入:是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。命令注入漏洞主要表现为以下两种形式:1、攻击者能够算改程序执行的命令:攻击者直接控制了所执行的命令。2、攻击者能够复改命...
【代码审计】命令注入和代码注入
TeamsSix 的 CSDN 空间
11-21 4476
0x01 命令注入 在开发过程中,开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令,这时如果执行的命令用户可控,就会导致命令执行漏洞。 1、示例 当命令可控时,就可能会导致命令注入,例如以下代码: String cmd = request.getParameter("cmd"); Runtime.getRuntime().exec(cmd); 这种漏洞原理很简单,主要就是找到执行系统命令的函数,看命令是否可控。 java 程序中执行系统命令的函数如下: Runtime.exec Process
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java调用Shell命令的方法
09-03
主要介绍了Java调用Shell命令的方法,实例分析了java调用shell命令的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
java中Runtime.exec()可能带来的命令注入安全问题的解决办法
最新发布
qq_53058639的博客
02-25 789
我们在使用Runtime.getRuntime().exec()的时候,可以指定一个命令或者脚本,让它执行,类似于调用系统指令来进行完成一项任务。但是这个方法如果有安全检查,它会被报出一个CommandInjection的风险,也就是命令注入的风险,因为命令可能是外部传入,这个时候,正常的命令都不会有任何问题,但是如果被人恶意指定,比如删除系统服务,删除一些特定目录等的操作,就可能造成非常严重的后果。
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
使用Runtime.getRuntime().exec();导入PostgreSQL问题(导入不全)
09-21 107
Runtime.getRuntime().exec()坑
java命令注入基础
qq_48511129的博客
01-11 1909
Java应用程序中,敏感函数的参数如Runtime.getRuntime(),exec(String command)如果该参数可由用户控制,而且未经过合理验证和过滤,则极易造成命令注入漏洞。 Java 代码审计中,审计命令执行主要搜索是否有相关执行系统命令的类和方法,如”Runtime“、“ProcessBuilder“、”GroovyShell“等。查找利用链来触发到漏洞类或者漏洞方法。 举例说明 这是一个ping功能的网站 源码分析,直接将用户输入的参数代入到exec执行,未进行过滤 漏洞利用 ht
Runtime.getRuntime().exec详解
liuqinhou的博客
02-22 3039
Runtime
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
java代码审计.Freemarker模板命令注入.分析
10-21
java代码审计.Freemarker模板命令注入.分析
DependencyTest:JAVA依赖注入示例
05-08
依赖测试JAVA依赖注入示例
远程代码注入的介绍与代码防御
煜铭2011
10-07 1488
0x01 介绍     Web 应用程序使用操作系统呼叫来执行本机图像,以扩展它们的功能或运行旧版代码。不用说,直接抵达这些呼叫的用户输入当然极危险,因为如此一来,恶意用户便可以使用应用程序主机的凭证来运行本机代码,甚至造成彻底的系统伤害。传播到共享库装入方法(如 Javajava.lang.Runtime.loadLibrary)中的用户输入也同样危险,也应该避免。即便用户只
网络安全课第八节 命令与代码注入防御
fegus的博客
07-11 1012
上一讲介绍了文件上传漏洞的攻防原理,利用可能直接控制服务器,危害严重。本节课再给大家介绍一种叫命令注入的严重漏洞,由于它也能直接控制服务器,因此常令企业安全人员半夜应急。为何是半夜呢?因为搞站的人经常是晚上下班后开搞,也专业挑安全人员下班的时间,减少被发现和阻断的情况。命令注入,主要指应用在服务器或客户端上,允许拼接系统命令并执行而造成的漏洞。对于 web 网站,通常是针对服务器的攻击利用。PHP 中常见的系统命令执行函数有:system()exec()shell_ exec()proc_open()pop
Java防止路径操控和命令注入 代码
weixin_34375251的博客
06-12 1592
public class Test{ public static void main(String[] args) { System.out.println(getSafeCommand("abcd&efg")); System.out.println(getSafePath("abcd/efg"));...
java Runtime.exec()执行shell/cmd命令:常见的几种陷阱与一种完善实现
丶没胡子的猫
11-03 3210
Runtime.getRuntime().exec()执行JVM之外的程序:常见的几种陷阱 前言 日常java开发中,有时需要通过java运行其它应用功程序,比如shell命令等。jdk的Runtime类提供了这样的方法。首先来看Runtime类的文档, 从文档中可以看出,每个java程序只会有一个Runtime实例,显然这是一个单例模式。 /** * Every Java application has a single instance of class * <code>Runtime&
Runtime.getRuntime().exec()方法的使用
热门推荐
虾哔哔的博客
10-25 2万+
在公司项目中需要调用外包的命令脚本语言来实现功能,Jdk中提供了Runtime.getRuntime().exec()方法来执行。 1.错误的使用方式Runtime.getRuntime().exec("xxx");2.正确的使用方式//需要指定参数一:命令位置;参数二:-c表示先执行第一个参数;参数三:你的命令。 Runtime.getRuntime().exec(new String[]{"/
java网站sql注入检查和防护
07-08
Java网站中,预防SQL注入攻击是非常重要的安全措施。下面是一些常见的检查和防护方法: 1. 使用参数化查询:使用预编译的SQL语句和参数绑定来执行数据库操作,而不是直接将用户输入的数据拼接到SQL语句中。这可以防止恶意用户在输入中插入恶意的SQL代码。 2. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保只接受有效的输入。可以使用正则表达式、白名单过滤或黑名单过滤等方式。 3. 使用ORM框架:使用对象关系映射(ORM)框架,如Hibernate或MyBatis,可以将数据库操作抽象化,减少手动编写SQL语句的机会,从而降低SQL注入的风险。 4. 最小权限原则:为数据库用户授予最小权限,限制其对数据库的访问范围。不要使用具有高权限的特权账户执行普通操作。 5. 安全编码实践:编写安全的代码是防止SQL注入攻击的基础。避免使用动态拼接SQL语句,避免使用不可信任的输入直接执行数据库操作。 6. 日志记录和监控:实施日志记录和监控机制,及时发现异常的数据库操作行为,并采取相应的应对措施。 7. 定期更新和维护:及时更新数据库和应用程序的补丁,确保系统中使用的软件版本是最新的,以减少已知的漏洞和安全风险。 请注意,以上只是一些常见的方法,SQL注入攻击的防范需要综合考虑系统架构、安全需求和开发团队的实际情况。建议在开发过程中结合安全专家的建议来确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值