- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
如何避免以下代码出现“This use of java/lang/ProcessBuilder.([Ljava/lang/String;)V can be eager to Command Injection” Sonar 消息?
已更新
void assign(String path, File jarFile) {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String command = "\"" + script.getAbsolutePath() + "\" " + password
+ " \"" + cert.getAbsolutePath() + "\""
+ " \"" + jarFile.getAbsolutePath() + "\"";
Process proc = new ProcessBuilder(command).start();
}
最佳答案
您可能可以在当前的测试代码中推断出这里实际上不存在滥用的可能性,但我怀疑这是给定硬编码密码“123”的生产代码。像这样的代码往往会变形,如果您留下注入(inject)的可能性,您必须非常了解所有参数的来源才能排除注入(inject)。如果您以正确的方式执行此操作,则不必对参数如此小心。
而且,漏洞扫描器不可能这么聪明。谁知道 Sonar 正在寻找什么,但它正在提示 ProcessBuilder 构造函数的这个特定变体。也许它可以识别输入字符串中的空格并知道那里有参数。谁知道。无论如何,确实没有理由不使用更强大的构造函数版本。我希望这样做可以避免出现此消息。
就像 SQL 一样,答案是将各个参数传递给 ProcessBuilder,如下所示:
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
Process proc = new ProcessBuilder(command).start();
}
这确保代码知道可执行文件本身和参数之间的区别,因此可执行文件不会那么容易被操纵。这也使得这个特定的代码更干净、更容易阅读。
请注意,即使在这种情况下,为了确保此代码安全,您需要深入了解 File.getAbsolutePath() 的行为和/或“path”和“jarFile”的确切位置都来自。 File 可能会被操纵,从 getAbsolutePath 返回错误的内容。我并不是说它可以,但事实上我不知道这两种方式正是我想要使用 ProcessBuilder 构造函数的多字符串变体的原因。
更新:所以 Sonar 仍在提示这种形式。事实证明,这个新版本仍然使用相同的构造函数,因为构造函数是一个可变参数构造函数,可以接受“一个或多个”字符串。我认为我提供的原始解决方案实际上确实解决了注入(inject)问题,但 Sonar 无法识别我们已经分离出命令参数的事实。
有一个 ProcessBuilder 构造函数,它采用列表而不是数组。我的示例的这个版本使用该构造函数。
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
List<String> commandList = Arrays.asList(command);
Process proc = new ProcessBuilder(commandList).start();
}
我希望这能让 Sonar 满意。我猜这种构建 ProcessBuilder 的方式正是它所寻找的。
关于Java - java/lang/ProcessBuilder.<init>([Ljava/lang/String;)V 的这种用法可能容易受到命令注入(inject) (Sonar) 的攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55480249/
在 Tomcat 6/Ubuntu 12.04 上启动 Grails 2.1.0 应用程序时出现以下错误。 Error 500 - Internal Server Error. groovy.lang
在运行 Storm 拓扑时,我收到此错误。拓扑完美运行 5 分钟,没有任何错误,然后失败。我正在使用 Config.TOPOLOGY_TICK_TUPLE_FREQ_SECS as 300 sec i
我有一个 jsp 代码在其中一台机器上运行良好。但是当我复制到另一台机器时,我得到了这个 no such method found 异常。我是 Spring 的新手。有人可以解释我错过了什么吗? 以下
已关闭。此问题需要 debugging details 。目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and the
我的代码在下面给出了一个错误; Exception in thread "main" java.lang.NoSuchMethodError: com/myApp/Client.cypherCBC(L
我正在尝试一个 Restful web 服务示例,所以当我要访问 url 时,我遇到了异常 java.lang.NoSuchMethodError: jersey.repackaged.com.goo
我正在将一个 Spring web 项目转换为一个 Maven 项目,但我收到了这个错误: java.lang.NoSuchMethodError: org.jboss.logging.Logger.
在我的项目中,我有一个像这样的枚举: public enum MyEnum { FIRST(1), SECOND(2); private int value; private MyEnum(int v
我创建了这个简单的示例,用于读取 Linux 正常运行时间: public String getMachineUptime() throws IOException { String[] di
我正在使用 Eclipse,并且正在使用 Java。我的目标是使用 bogoSort 方法对 vector 进行排序在一个 vector (vectorExample)中适应我的 vector 类型,
我正在运行以下查询。它显示一条错误消息。如何解决这个错误? ListrouteList=null; List companyList = session.createS
我有以下模型类: @Entity @Table(name="user_content") @org.hibernate.annotations.NamedQueries({ @org.
我有那个错误。这是我的代码: GmailSettingsService service = new GmailSettingsService(APPLICATION_NAME, DOMAIN_NAME
实际上我在执行我的java程序时遇到了下面提到的错误 Exception in thread "pool-1-thread-1" java.lang.ClassCastException: jav
java.lang.ClassCastException: java.lang.Float cannot be cast to java.lang.String 我在以下代码中遇到此异常: Strin
我正在尝试从 linkedhashset 中检索随机元素。下面是我的代码,但它每次都给我异常。 private static void generateRandomUserId(Set userIds
我已经完成了 Android 中的代码: List spinnerArray = new ArrayList(); for (int i = 0; i item = (LinkedTreeMap)
这个问题已经有答案了: Explanation of ClassCastException in Java (12 个回答) 已关闭 6 年前。 我已经编写了 java 到 Json 的代码,同时从页
这个问题在这里已经有了答案: ClassCastException java.lang.Long cannot be cast to clojure.lang.IFn (4 个答案) 关闭 6 年前
我在运行时遇到问题来编译这段代码,这给我一个错误,java.lang.Integer 无法转换为 Java.lang.Double。如果有人帮助我更正此代码,我将非常高兴 double x; pu
我是一名优秀的程序员,十分优秀!