os 命令注入

命令分隔符注入命令

Java代码也提供一些接口，如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令，可以执行一些体统命令。下面给一段代码：

Public static void main(String command){

Runtime run = Runtime.getRuntime();

try{

Process process = run.exec(“cmd.exe /k start  ”+ command);

InputStream in = process.getInputStream();

While (in.read() != -1){

System.out.println(in.read());

}

in.close();

process.waitFor();

} catch (Exception e){

e.printStackTrace();

}

}

在运行这些接口的时候也应该注意，如果command参数没有处理好，也很容易导致命令行注入。来个栗子：

如果执行的command命令如下：

echo “hello world”

如果输入的是：

echo “hello world”| dir

dir命令就会执行，并且会显示当前的目录结构。一般系统的命令分隔符有“；”，“&”，“&&”，“|”，“||”。

通过以上栗子可以总结出，命令行注入可以使得没有授权的代码或者命令得到执行，比如，exit，restart，读文件和目录，读取应用数据，修改应用数据，修改应用数据，甚至于隐藏一些非法操作。

当然我们也可以通过输入检查来避免命令行注入，对于“；”，重定向“>” / “<”以及空格这些有特殊的字符进行过滤。但是，使用黑名单往往也难以解决问题，因为还是可能有某些特殊字符还是会遗漏。即使没有遗漏，那么当我们需要输入这些特殊字符时，又该怎么处理呢？这里给出的解决方法就是“包围”+”转义”。当然，系统不同，包围和转义的规则也不一样。

在Linux/UNIX中，可将给定的字符串用单引号括起来，为什么用单引号？因为在shell代码的转义字符中单引号是硬转义，会使单引号中所有shell的特殊字符失去原来的意义。

在windows中，可以将给定的字符用双引号括起来，|，^{,&等都是特殊字符。转义规则为：代表},^|代表|，”代表”，^&代表&。

虽然通过转义的处理，可以预防命令行的注入的问题，但是，难免在编程中引入错误，导致问题的引入，因此需要注意以下几点，即使存在命令行注入，也要将损失降低到最低。

1.不仅要在客户端过滤，也要在服务器端进行过滤。

2.要用最小权限去运行程序，不要给予程序多余的权限，最好只允许在特定的路径下运行，可以通过明确的路径运行命令。

3.在程序执行错误时不要显示与内部相关联的细节。

4.如果只允许运行有限的命令，使用白名单方式过滤。

5.对于需要运行命令的请求，尽可能减少外部数据的输入，比如，能传参数的就不要传命令行；web应用程 序，如果可以将一些数据保存在会话，就不要发给客户端。

6.如果存在下载文件，可以分配文件一个id号，通过id号来访问，而不通过文件名访问。如果允许输入文件名，就需要严格检查文件名的合法性，避免可能的命令注入。

作者：JBlock
来源：CSDN
原文：https://blog.csdn.net/JBlock/article/details/78220010
版权声明：本文为博主原创文章，转载请附上博文链接！