防止命令注入的方法

于 2024-08-08 16:01:06 发布
阅读量262 收藏 1
点赞数 3
分类专栏: 项目相关 文章标签: windows linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42564451/article/details/141029415
版权
  1. 使用 Apache Commons Lang 的 StringEscapeUtils:
import org.apache.commons.lang3.StringEscapeUtils;

private String escapeProcessName(String processName) {
    return StringEscapeUtils.escapeJava(processName);
}

这种方法会转义 Java 语言中的特殊字符,但可能不足以完全防止命令注入。

  1. 使用 Java 的 Pattern.quote() 方法:
import java.util.regex.Pattern;

private String escapeProcessName(String processName) {
    return Pattern.quote(processName);
}

这会将整个字符串作为字面量处理,但可能会影响命令的执行。

  1. 使用白名单方法:
private String escapeProcessName(String processName) {
    return processName.replaceAll("[^a-zA-Z0-9_.-]", "");
}

这种方法只允许字母、数字、下划线、点和连字符,删除所有其他字符。

  1. 使用 ProcessBuilder 而不是 Runtime.exec():
private Process createProcess(String processName) throws IOException {
    List<String> command = Arrays.asList("ps", "aux");
    ProcessBuilder pb = new ProcessBuilder(command);
    pb.redirectErrorStream(true);
    return pb.start();
}

然后在读取输出时过滤包含 processName 的行。这种方法避免了直接在命令中包含用户输入。

  1. 使用第三方库如 Google Guava 的 CharMatcher:
import com.google.common.base.CharMatcher;

private String escapeProcessName(String processName) {
    return CharMatcher.anyOf("$&;`()\"'|<>").replaceFrom(processName, "");
}

这种方法类似于正则表达式的方法,但可能更高效。

  1. 对于远程 Linux 系统,考虑使用 pkill 命令:
private String createCommand(String processName) {
    return String.format("pkill -f %s", processName);
}

pkill 命令会自动处理大多数特殊字符。

  1. 使用 Java 9+ 的 ProcessHandle API:
private List<ProcessHandle> findProcesses(String processName) {
    return ProcessHandle.allProcesses()
        .filter(ph -> ph.info().command().map(cmd -> cmd.contains(processName)).orElse(false))
        .collect(Collectors.toList());
}

这种方法完全避免了使用 shell 命令,但仅适用于本地进程。

DebugDiver代码深处潜水员
关注
专栏目录
web渗透--28--命令注入
武天旭的博客
09-16 1970
1、漏洞描述: Command Injection,即命令注入攻击,是指由于Web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。在命令注入的漏洞中,最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功...
python怎么防止命令注入_Python3命令注入防范
weixin_35853083的博客
02-04 1184
一、背景说明说实话自己是做安全的,平时总是给别人代码找茬,但轮到自己写代码有时比开发还不注重安全,其中有安全脚本一般比较小考虑安全那么处理安全问题的代码比重将会大大超过业务代码的问题也有不是专职开发添加一项功能还没开发那么熟练的问题。由于安全脚本一般不是对外开启服务的,所以一般也不会暴出什么问题。但前段时间被拉群通知说自己写的一个脚本存在命令注入漏洞,开始很讶异,经沟通和分析之后发现是因为脚本有通...
什么是命令注入命令注入如何避免?
llzhang_fly的博客
08-13 1万+
1、什么是命令注入 Command Injection,即命令注入攻击,是指由于嵌入式应用程序或者 web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。 在命令注入的漏洞中,最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功能的函数时,对用户提交的数据内容没有进行严格的过滤就带入函...
命令注入攻击及其防范措施
常备不懈
05-29 666
命令注入攻击是一种通过有漏洞的应用程序在主机操作系统上执行任意命令的攻击。 当应用程序将不安全的用户输入数据(如表单、cookie、HTTP 标头等)传递给系统命令执行时,可能会发生命令注入攻击。
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 5353
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
命令注入绕过方式总结
cainsoftware的博客
10-09 1726
前言 命令注入是web中常见的漏洞之一,由于web应用程序未对用户提交的数据做严格的过滤,导致用户输入可以直接被linuxwindows系统当成命令执行,一般都会造成严重的危害。 常用符号 分号(;) 多条语句顺序执行时的分割符号。 cmd1;cmd2 管道符(|) cmd1命令的输出,作为下一条命令cmd2的参数。 cmd1|cmd2 and(&&) 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2 cmd1 && cmd2
Python中防止sql注入方法详解
09-21
### Python中防止SQL注入方法详解 #### 前言 SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行非法操作,如篡改、删除或检索敏感数据等。对于使用Python...
Java命令注入_Java防止路径操控和命令注入 代码
weixin_26795617的博客
02-12 839
public class Test{public static void main(String[] args){System.out.println(getSafeCommand("abcd&efg"));System.out.println(getSafePath("abcd/efg"));}/*** Get the safe path* @param filePath Enter t...
使用Python防止SQL注入攻击的实现示例
09-16
本文详细介绍了如何使用Python防止SQL注入攻击的方法,包括如何设置数据库环境、如何构造安全的参数化查询等。通过实际的代码示例,读者可以更加直观地理解如何在实际开发中应用这些技巧,以增强应用的安全性。在...
详解php命令注入攻击
10-17
防范PHP命令注入攻击的方法包括: - 对用户输入进行严格的验证和过滤,拒绝不安全的字符和命令。 - 使用参数化查询或避免直接将用户输入拼接到系统命令中。 - 对于需要执行外部命令的场景,使用安全的函数或者API,...
Java命令注入之防护
沧海一粟
07-16 1万+
1 Java中的命令注入Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6651
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入的五种方法
热门推荐
路漫漫~
05-09 4万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。     SQL注入是比较常见的
node.js mysql防注入_避免Node.js中的命令注入安全漏洞
weixin_39800387的博客
02-19 236
在这篇文章中,我们将学习正确使用Node.js调用系统命令方法,以避免常见的命令注入漏洞。我们经常使用的调用命令方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。child_process.exec('ls', fun...
防止命令注入
wuxing164的博客
04-24 4956
shell_exec 或是 exec 函数 可以使用escapeshellarg函数来转义 Shell 参数。,转义用户的输入并将其封装成单引号。 如: $targetIp = escapeshellarg($_GET['ip']); $output = shell_exec("ping -c 5 $targetIp"); ...
Windows cmd(dos)小命令
127.0.0.1的博客
04-19 1070
一、使用windows cmd(dos)实现电脑自动关机/重启 shutdown -s -t 0 /*该命令行的意思是0秒后关机。 这里的0和-s可以根据自己的情况改动。 -s可以改为-r意为重启。 0可以改为其他数字,意为多少秒后重启或关机。*/ shutdown -a /*这个条命令是取消上面的命令的。*/ 二、使用windows cmd(dos)进行网络质量简单检测 ping www.b...
系统命令注入的介绍与代码防御
煜铭2011
10-07 1万+
0x01 介绍        该软件使用受外部影响的输入来构造操作系统命令的全部或一部分,但未能对可能修改所需操作系统命令的元素进行无害化处理。这样一来,攻击者就可以直接在操作系统上执行意外的危险命令。在攻击者没有对操作系统的直接访问权的情况下(例如在 Web 应用程序中),此弱点可能导致脆弱性。反过来说,如果该弱点发生在特权程序中,攻击者有可能能够指定通常不可访问的命令,或者通
防止sql注入方法
qq_36031634的博客
09-06 3084
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
js执行命令防止代码注入
最新发布
09-12
JavaScript 中防止代码注入通常涉及安全处理用户输入、限制变量作用域以及使用安全的函数执行策略。以下是几个关键点: 1. **验证和过滤输入**:对来自用户的任何输入都要进行严格的检查和清理,避免包含恶意脚本或特殊字符。可以使用正则表达式或其他库来移除HTML标签、转义特殊字符等。 ```javascript const userInput = cleanInput(inputFromUser); ``` 2. **使用模板字符串或ES6模板字面量**:它们可以防止跨站脚本攻击 (XSS),因为不会解析特殊HTML标签。 ```javascript let output = `<div>${userInput}</div>`; // 不推荐 let output = `${userInput}`; // 或者使用模板字面量 ``` 3. **禁止直接执行**:不要直接将字符串作为`eval()`或`new Function()`的参数来执行,这两个函数会运行传递给它们的任意代码。 4. **使用DOM操作代替**:对于动态创建元素,尽量使用`document.createElement()`而不是innerHTML,后者可能会引入安全隐患。 5. **使用沙箱或隔离上下文**:如果需要执行用户提供的代码片段,可以考虑使用`WebAssembly`、`worker`或者其他安全沙盒环境来限制其权限。 ```javascript // 不推荐 executeUserCode(userProvidedCode); // 推荐 const sandbox = new SafeExecutionEnvironment(); sandbox.execute(userProvidedCode); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值