逃避shell命令在java？

发布时间：2020-12-15 18:47:31 所属栏目：安全来源：网络整理

导读：我有一个Web服务,将从认证机器的一些输入作为 XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数. 在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice？基本上,

我有一个Web服务,将从认证机器的一些输入作为 XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数.

在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice？

基本上,在一个非常简单的例子中,Im通过WS通过一些输入

<foo>
<bar>ABCDEF</bar>
</foo>

then running somescript.pl <<data in <bar> field>> here

我需要确保这不能用于执行任意shell命令等.

谢谢！

我建议使用ProcessBuilder或者一个不运行shell的Runtime.exec方法,因此不需要shell转义,以避免注入攻击(这里).

> ProcessBuilder – 比Runtime.exec更灵活.
> Runtime.exec(String[]) – 不同于只需要一个String的形式

考虑使用该过程的STDIN管道传输XML数据也是有益的 – Perl可以轻松处理STDIN的读取.命令行参数通常有限制.

快乐编码.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!