Java命令注入之防护

最新推荐文章于 2024-05-29 08:15:00 发布
最新推荐文章于 2024-05-29 08:15:00 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: java

1 Java中的命令注入

在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令,

Java的native调用

a. Windows是CreateProcessW 创建子进程执行命令

b. Unix中以enecve 来创建子进程执行命令

Java并没有使用system函数进行创建子进程执行命令,通常我们也知道system的函数非常容易发生注入风险,比如system(“ls “+”test;rm *”); 后面部分是用户输入的,用户输入通过注入符号;和后续指令rm *,被系统执行。

 execve, CreateProcessW 函数通过执行命令和参数分别传递的方式,这种方式杜绝了system的拼接命令的方式,有一定的安全性,但也未必是安全的。

1.1      参数直接用于命令执行

如果传入的参数对原执行命令来说是用于执行的情况下,enecve, createprocessW无法防护

1.        Windows下的

cmd.exe /K 参数可以批量执行命令


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String btype = request.getParameter(
     
     "inputparam");
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String cmds[] = {
     
     "cmd.exe",
     
     "/K",
     
     "\"C: &&del C:\\r2.txt”+btype+” &&del C:\\r1.txt \""};
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     System.Runtime.getRuntime().exec(cmds);

虽然此时传入的参数是用于cmd.exe的,但因为cmd.exe 使用了/K参数,将后续传入的参数用于命令执行,如果传入&&del *,最后变成

cmd.exe /K “del C:\\test1.txt && del *&&del C:\\test2.txt”

 

2.        Unix 下的

  • /bin/bash 参数,输入参数直接作为命令执行


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String btype = request.getParameter(
     
     "test");
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String cmds[] = {
     
     "/bin/bash ",
     
     "test.sh"+btype};
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     System.Runtime.getRuntime().exec(cmds);
传入的参数作为bash直接执行的,此时如果作为参数传入;rm *,最后等效于

/bin/bash test.sh;rm *

  • /bin/bash –c 参数,后续输入参数为执行命令


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String btype = request.getParameter("inputparam");
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     String cmds[] = {"/bin/bash ","-c","sh script.sh"+btype};
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     System.Runtime.getRuntime().exec(cmds);

此时传入的参数是用于bash执行脚本文件的,但因为使用了-c参数,使后续传入的参数用于命令执行,如果传入;rm *,最后等效于

/bin/bash –c “sh script.sh; rm *”

上述的例子提示只要在实际应用过程中,传入的参数(例如上例的sh script.sh;)是用于运行程序内部(例如sh -c,cmd.exe/k)执行命令的,execve,CreateProcessW函数就无法防护,此时用法等效于system(“sh script.sh;rm *”)函数


1.2       参数编码

对用于常见的用于shell执行的符号进行转码,避免命令注入的风险

字符

功能描述

Unix

Windows

|

管道:连接上个指令的标准输出,作为下个指令的标准输入

\|

^|

;

连续指令服务

\;

^;

&

后台运行

\&

^&

$

变量替换

\$

^$

重定向输入

\>

^>

目标文件内容发送到命令中

\<

^<

`

返回当前执行结果

\`

^`

\

作为连接符号用,或者转义用

\\

^\

!

执行上一条shell命令

\!

^!

例如:Unix 中

可以通过编码方式,避免命令的注入

/bin/bash script.sh\;rm *

/bin/bash –c “sh script.sh\; rm *” 

  • 多字符需要转义每个字符

比如:  >> 需要转义成\>\>

  •   编码方式的注意点:

编码是指在调用函数之前需要对参数进行编码,不需要多次编码。

比如说在某个script.sh test.sh\;rm *里面继续还有命令调用,而这个命令是用参数传入

sh $1

上述的解决方案并不是对test.sh;rm * 做两次编码,对script.sh来说传入参数test.sh;rm *只需要做一次编码,而在script.sh里需要对输入的参数$1在进行一次编码,遵循谁调用谁编码的原则。

1.3       参数过滤

  • 白名单保护

如果命令的参数是有特征性的建议使用白名单对输入的参数进行保护

比如允许[a-z][A-Z][0-9] _- 等有限的字符

 

  •  黑名单保护

a.      |;&$><`\! 可以将这些字符直接作为黑名单过滤

b.      \t\n\r\f \u0000 这些字符需要作为黑名单过滤,特别是空字符截断 \u0000 (这个在JVM6里是没有保护)


W·J
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java命令注入_java代码审计 命令注入 及 修复建议
weixin_29374899的博客
02-12 1158
命令注入:是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。命令注入漏洞主要表现为以下两种形式:1、攻击者能够算改程序执行的命令:攻击者直接控制了所执行的命令。2、攻击者能够复改命...
【代码审计】命令注入和代码注入
TeamsSix 的 CSDN 空间
11-21 4581
0x01 命令注入 在开发过程中,开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令,这时如果执行的命令用户可控,就会导致命令执行漏洞。 1、示例 当命令可控时,就可能会导致命令注入,例如以下代码: String cmd = request.getParameter("cmd"); Runtime.getRuntime().exec(cmd); 这种漏洞原理很简单,主要就是找到执行系统命令的函数,看命令是否可控。 java 程序中执行系统命令的函数如下: Runtime.exec Process
java中Runtime.exec()可能带来的命令注入安全问题的解决办法
feinifi的博客
03-25 4176
runtime.exec(command)存在命令注入风险的解决办法,采用三方框架esapi对部分命令进行过编码校验,三个配置文件缺一不可,只对部分命令进行校验,不是整个命令
命令注入攻击及其防范措施
最新发布
常备不懈
05-29 455
命令注入攻击是一种通过有漏洞的应用程序在主机操作系统上执行任意命令的攻击。 当应用程序将不安全的用户输入数据(如表单、cookie、HTTP 标头等)传递给系统命令执行时,可能会发生命令注入攻击。
web安全防护命令执行课件PPT
11-21
命令注入命令执行概述】 命令注入命令执行是网络安全中的关键概念,它们与Web应用程序的安全性密切相关。命令注入是一种攻击技术,攻击者通过输入恶意命令到应用或系统中,使其执行非预期的操作,通常源于...
Sql注入工具_动力节点Java学院整理
09-09
9. **Safe3 SQL Injector**:这款工具是最强大且易于使用的渗透测试工具之一,支持多种数据库系统,自动检测和利用SQL注入,功能包括读取数据库、执行SQL语句、控制后门等。 这些工具的存在,一方面警示我们数据库...
02命令执行代码注入漏洞.pptx
09-23
2. PHP系统命令注入,如`eval`函数的滥用,用户可以通过修改参数执行任意命令,如`system("cat /etc/passwd")`。 **代码注入示例** 1. PHP代码注入,如`eval`函数,用户输入的PHP代码会被直接执行,如`phpinfo()`。...
XXXX有限公司JAVA安全编码规范.doc
01-29
不正确的或未经验证的输入可能导致命令注入和跨站脚本(XSS)等攻击。 1.1 命令注入 命令注入攻击发生在用户输入被直接用作操作系统命令的一部分时。攻击者可以构造特殊输入,执行非预期的操作,甚至获取服务器...
SQL注入漏洞过程实例及解决方案
09-08
由于`PreparedStatement`在执行查询之前会预编译SQL语句,所以即使输入包含SQL关键字,它们也会被视为普通字符串,不会被解释为SQL命令,从而避免了注入攻击。 除了使用`PreparedStatement`之外,还有其他防护措施...
学生成绩管理系统 java+sql
01-29
2. **安全防护**:如使用预编译的PreparedStatement防止SQL注入,设置合理的权限控制避免数据泄露。 3. **前端技术**:HTML、CSS、JavaScript用于构建用户界面,可能还会涉及jQuery、Vue.js等前端框架。 4. **版本...
SQL注入漏洞检测工具sqlmap用户手册
09-16
为了防止被WAF(Web应用防火墙)或其他防护措施阻拦,sqlmap提供了多种规避策略。如使用`--random-agent`模拟不同的浏览器标识,`--delay`设置请求之间的间隔以避免速率限制,以及使用`--tor`通过Tor网络匿名访问...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
2. 使用存储过程:通过存储过程与数据库交互,减少直接的SQL命令执行,降低注入风险。 3. 验证和清理输入:对所有用户输入进行验证,确保符合预期格式,并清理可能存在的恶意代码。 4. 最小权限原则:数据库用户...
【技术分享】重逢——Java安全之反射 .pdf
09-05
Java安全之反射】知识点详解 Java反射是Java编程语言中的一个重要特性,它允许程序在运行时检查自身的结构,包括类的属性、方法等信息,并能动态地进行操作。这使得开发者能够在不知道具体对象类型的情况下,依然...
互联网大厂Java工程师岗位面试真题
02-25
4. Web漏洞:常见的Web漏洞包括SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、文件包含、命令注入、 SSRF(服务器端请求伪造)等。理解这些漏洞的原理和防护方法是网络安全的基础。 5. 硬件安全:硬件安全...
什么是命令注入命令注入如何避免?
热门推荐
llzhang_fly的博客
08-13 1万+
1、什么是命令注入 Command Injection,即命令注入攻击,是指由于嵌入式应用程序或者 web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。 在命令注入的漏洞中,最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功能的函数时,对用户提交的数据内容没有进行严格的过滤就带入函...
java命令注入基础
qq_48511129的博客
01-11 1979
Java应用程序中,敏感函数的参数如Runtime.getRuntime(),exec(String command)如果该参数可由用户控制,而且未经过合理验证和过滤,则极易造成命令注入漏洞。 Java 代码审计中,审计命令执行主要搜索是否有相关执行系统命令的类和方法,如”Runtime“、“ProcessBuilder“、”GroovyShell“等。查找利用链来触发到漏洞类或者漏洞方法。 举例说明 这是一个ping功能的网站 源码分析,直接将用户输入的参数代入到exec执行,未进行过滤 漏洞利用 ht
java Runtime.exec()执行shell/cmd命令:常见的几种陷阱与一种完善实现
凝聚力安全团队
11-03 3349
Runtime.getRuntime().exec()执行JVM之外的程序:常见的几种陷阱 前言 日常java开发中,有时需要通过java运行其它应用功程序,比如shell命令等。jdk的Runtime类提供了这样的方法。首先来看Runtime类的文档, 从文档中可以看出,每个java程序只会有一个Runtime实例,显然这是一个单例模式。 /** * Every Java application has a single instance of class * <code>Runtime&
xml 实体执行命令java xxe
01-07
XML实体执行命令漏洞(XML External Entity,简称XXE),是指在XML文档的解析过程中,利用实体注入技术来执行恶意命令的一种攻击方式。对于该问题,以下是一个用300字中文回答: XML实体执行命令java xxe是一种漏洞攻击方式。当解析XML时,攻击者通过在XML文档中注入带有恶意代码的实体,可以导致服务器执行恶意命令或读取敏感数据。 在Java中,XXE漏洞可以通过DocumentBuilderFactory解析XML时使用的解析器特性(如“<!DOCTYPE”、“DOCTYPE”和“<ENTITY>”等)来注入实体。攻击者可以构造恶意的XML文档,通过实体注入技术注入包含恶意代码的外部资源引用。当XML文档被解析时,解析器会尝试从外部资源加载实体,如果攻击者在外部资源中包含了一些系统命令,那么这些命令就会被执行。 为防止XXE漏洞,应对输入进行合理过滤和安全处理。可采取以下几种防护措施:1.禁止或限制解析器使用外部实体和外部DTD文件。2.使用安全的解析器,如Woodstox、SAX、SAXON等,它们可以禁用外部实体和DTD。3.对输入进行严格的验证和过滤,确保只接受合法的XML数据。4.采用白名单机制,限制允许的XML元素、属性和实体。 总之,通过对输入进行严格验证和过滤,禁用或限制外部实体和DTD,选择安全的解析器等措施,可以有效防范XML实体执行命令java xxe漏洞带来的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值