逃避shell命令在java?
发布时间:2020-12-15 18:47:31 所属栏目:安全 来源:网络整理
导读:我有一个Web服务,将从认证机器的一些输入作为 XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数. 在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice? 基本上,
我有一个Web服务,将从认证机器的一些输入作为
XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数.
在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice? 基本上,在一个非常简单的例子中,Im通过WS通过一些输入 <foo> <bar>ABCDEF</bar> </foo> then running somescript.pl <<data in <bar> field>> here 我需要确保这不能用于执行任意shell命令等. 谢谢!
我建议使用ProcessBuilder或者一个不运行shell的Runtime.exec方法,因此不需要shell转义,以避免注入攻击(这里).
> ProcessBuilder – 比Runtime.exec更灵活. 考虑使用该过程的STDIN管道传输XML数据也是有益的 – Perl可以轻松处理STDIN的读取.命令行参数通常有限制. 快乐编码. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- twitter-bootstrap – Twitter Bootstrap 3.1.1 navbar-rig
- angularjs – Angular UI Grid点击行
- angularjs – ng-bind-html – 如何在新窗口中打开链接?
- 针对 WebService 使用 Service 类获取 Port 类的一个参数问
- bootstrap-datetimepicker实现只显示到日期的方法
- bash – 如何查找Linux命令行实用程序的退出代码的含义?
- Docker 搭建ngnix服务器
- ①bootstrap学习笔记一下载安装,栅格,流式,布局,样式
- shell脚本介绍、shell脚本结构和执行、date命令用法、shell
- Angular2开发拙见——组件规划篇