Java - java/lang/ProcessBuilder.<init>([Ljava/lang/String;)V 的这种用法可能容易受到命令注入(inject) (Sonar) 的攻击-6ren

Java - java/lang/ProcessBuilder.([Ljava/lang/String;)V 的这种用法可能容易受到命令注入(inject) (Sonar) 的攻击

转载作者：行者123 更新时间：2023-12-01 18:44:51

26

4

如何避免以下代码出现“This use of java/lang/ProcessBuilder.([Ljava/lang/String;)V can be eager to Command Injection” Sonar 消息？

已更新

void assign(String path, File jarFile) {

   File cert = new File(path, "Cert");
   String password = "123";    

   File script = new File(path, "assign.bat");
   String command = "\"" + script.getAbsolutePath() + "\" " + password
                        + " \"" + cert.getAbsolutePath() + "\""
                        + " \"" + jarFile.getAbsolutePath()     + "\"";

   Process proc = new ProcessBuilder(command).start();

}

最佳答案

您可能可以在当前的测试代码中推断出这里实际上不存在滥用的可能性，但我怀疑这是给定硬编码密码“123”的生产代码。像这样的代码往往会变形，如果您留下注入(inject)的可能性，您必须非常了解所有参数的来源才能排除注入(inject)。如果您以正确的方式执行此操作，则不必对参数如此小心。

而且，漏洞扫描器不可能这么聪明。谁知道 Sonar 正在寻找什么，但它正在提示 ProcessBuilder 构造函数的这个特定变体。也许它可以识别输入字符串中的空格并知道那里有参数。谁知道。无论如何，确实没有理由不使用更强大的构造函数版本。我希望这样做可以避免出现此消息。

就像 SQL 一样，答案是将各个参数传递给 ProcessBuilder，如下所示:

void assign(String path, File jarFile) throws IOException {

    File cert = new File(path, "Cert");
    String password = "123";

    File script = new File(path, "assign.bat");
    String[] command = {
            script.getAbsolutePath(),
            password,
            cert.getAbsolutePath(),
            jarFile.getAbsolutePath()
    };

    Process proc = new ProcessBuilder(command).start();

}

这确保代码知道可执行文件本身和参数之间的区别，因此可执行文件不会那么容易被操纵。这也使得这个特定的代码更干净、更容易阅读。

请注意，即使在这种情况下，为了确保此代码安全，您需要深入了解 File.getAbsolutePath() 的行为和/或“path”和“jarFile”的确切位置都来自。 File 可能会被操纵，从 getAbsolutePath 返回错误的内容。我并不是说它可以，但事实上我不知道这两种方式正是我想要使用 ProcessBuilder 构造函数的多字符串变体的原因。

更新:所以 Sonar 仍在提示这种形式。事实证明，这个新版本仍然使用相同的构造函数，因为构造函数是一个可变参数构造函数，可以接受“一个或多个”字符串。我认为我提供的原始解决方案实际上确实解决了注入(inject)问题，但 Sonar 无法识别我们已经分离出命令参数的事实。

有一个 ProcessBuilder 构造函数，它采用列表而不是数组。我的示例的这个版本使用该构造函数。

void assign(String path, File jarFile) throws IOException {

    File cert = new File(path, "Cert");
    String password = "123";

    File script = new File(path, "assign.bat");
    String[] command = {
            script.getAbsolutePath(),
            password,
            cert.getAbsolutePath(),
            jarFile.getAbsolutePath()
    };
    List<String> commandList = Arrays.asList(command);

    Process proc = new ProcessBuilder(commandList).start();
}

我希望这能让 Sonar 满意。我猜这种构建 ProcessBuilder 的方式正是它所寻找的。

关于Java - java/lang/ProcessBuilder.<init>([Ljava/lang/String;)V 的这种用法可能容易受到命令注入(inject) (Sonar) 的攻击，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/55480249/

26

4

0

文章推荐： Java同一个List中的多个子类型和父类(super class)型

numpy - 为向量矩阵 v 计算 "v^T A v"
我有一个 k*n矩阵 X 和 k*k矩阵A。对于X的每一列，我想计算标量 X[:, i].T.dot(A).dot(X[:, i]) (或者，数学上， Xi' * A * Xi )。目前，我有一个
c - 无效*v[]； v[i] = v[j]；为什么这是对的？
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它，visit the help center 。已关
javascript - VueJS - 如何注册自定义元素、、、
我是 VueJS 的新手。我已经使用 vuetify/webpack-ssr 模板创建了一个项目，现在我想创建一个登录页面，但是没有显示表单，控制台给了我以下信息: [Vue warn]: Unkno
c++ - 是否保证 C++ vector v 的 v.begin() + v.size() == v.end()？
我尝试将 value 插入到 C++ vector v 之前的第 i 元素(或元素 (i-1) 之后) )。代码很简单 v.insert(v.begin() + i, value); 我确信当 i 介
c++ - vector v 的 v[0]、v.begin() 和 v.data() 之间有什么区别？
我需要显示使用合并排序算法排序的 vector 。然而，当我使用 v.begin() 时，我的 friend 使用 v.data() 来传递 vector 。他的代码运行良好，而我的却不行。请解释。
ffmpeg - 过滤图描述中的流说明符 ':v:0' [1 :v:0] [1:a:0] [2:v:0] [2:a:0] [3:v:0] [3:v:0] concat=n=4:v=1:a=1 [v] [a] matches no streams
这是我的命令(url1、url2、url3、url4 是占位符): ffmpeg -i url1 -i url2 -i url3 -i url4 -filter_complex “[1:v:0] [1
javascript - Vue : Use data to control DOM (but v-for, v-if、v-model 和 v-show 还不够)
我以前用过Vue，我知道怎么用v-for渲染元素序列，v-if或v-show有条件地显示元素，并且 v-model例如，控制段落的内容。但现在我需要对 DOM 进行更精细的控制: 我有一个range
rust - 为什么 &v[1] + &v[2] 与 Rust 中的 v[1] + v[2] 具有相同的结果？
我正在学习所有权和借用。 borrow1 和borrow2 的区别在于在borrow2 打印时使用了&: fn borrow1(v: &Vec) { println!("{}", &v[10]
vuejs2 - v-for 内部的 v-if 和 v-else 用于不同的文本渲染
我找不到一种方法来选择不同的选项来渲染 v-for 中的文本。是否有可能或者我是否需要以不同的方式构建逻辑来执行类似于下面的代码的操作？ // i
oop - 为什么 Seq[V] 不扩展 Map[Int,V] 也不 Set[V] 扩展 Map[V,Bool]？
Iterable 的三个直接子类型是 Map , Seq , 和 Set .除了性能问题之外，似乎还有一个 Seq是从整数到值的映射，以及 Set是从值到 bool 值的映射(如果值在集合中，则为 t
java - 为什么 v != null ？ v++ : 1 is not the same as (v ! = 空？ v : 0) + 1 on incrementing a key on HashMap. 计算？
我想应用一个计算方法，如果键存在则增加值，否则将 1。有 Map map = new HashMap<>(); 我不明白为什么 for (int i = 0; i v != null ? v++ :
c - IEEE 754 : is v *= -1 always guaranteed to be the same as v = -v?
标准(IEEE 754/C)是否保证以下代码断言永远不会失败？ int main() { for ( /* all possible float / double values */ )
javascript - v-for 在 v-if 条件下，v-else 不起作用，循环重复
代码由Vue语言编写，使用Element-ui框架，如果一个对象包含某些内容，则会显示该内容，如果不包含则禁用菜单按钮。输出应该是这样的: a、b(禁用)、c、d、e 但我的是这样的: a、a(禁
vue.js - v-for 与 v-if 处于同一级别，影响 v-else
如果我这样做: {‌{ morevalue }} {‌{ value }} v-else 中的跨度也会在第二个 V-FOR 上循环，即使它上面没有任何 v-for，为什么？这是
vue.js - v-for 与 v-if 处于同一级别，影响 v-else
如果我这样做: {‌{ morevalue }} {‌{ value }} v-else 中的跨度也会在第二个 V-FOR 上循环，即使它上面没有任何 v-for，为什么？这是
javascript - 如何在 v-datatable 中使用带有动态数组的 v-switches v-model
我将 Vue.js 与 Vuetify 一起使用，我正在尝试使用 v-data-table 从后端加载菜单列表并使用对其设置一些权限v-switches 但我在尝试 v-model 数组时遇到问题:
java - Map 在按值分组后返回到 Map>，而不是 Map>>
我在 Java 的流式操作中努力维护我想要的数据结构，这很可能是由于缺乏正确的理解和实践。 public class Main { public static void main(String
javascript - 是 incorrect? 我可以在同一元素的 v-bind 中使用来自 v-for 的匹配项吗？
我正在尝试为匹配中的每个匹配呈现一些 HTML，但是，我不太确定实际上是正确的。更具体地说，我不确定我是否可以使用 v-bind:match='match'在与循环相同的元素上 v-for='ma
vue.js - 带有选择选项的 V-IF 和 V-for 循环条件似乎永远不会进入 v-else 语句
所以我想知道为什么这个 v-if 和 v-else 语句不起作用，为什么我要以不同的方式解决它。代码如下 Required: Select a Workflow {{ isChain ?
vuejs2 - 防止 v-if、v-else、v-else-if 中的相同组件标签共享一个 Vue 实例
我有一个 VueJS 组件，我在同一个模板中使用了两次来显示两组不同的数据。每个都显示在自己的使用 v-if 切换的容器在导航选项卡上。似乎这些组件被实例化为同一个实例。我调用 console

首页

博学

6Ren·AI

商城

Java - java/lang/ProcessBuilder.([Ljava/lang/String;)V 的这种用法可能容易受到命令注入(inject) (Sonar) 的攻击