Java - 这种 java/lang/ProcessBuilder.<init>([Ljava/lang/String;)V 的用法容易受到命令注入 (Sonar)
Java - This usage of java/lang/ProcessBuilder.<init>([Ljava/lang/String;)V can be vulnerable to Command Injection (Sonar)
如何避免以下代码的 "This usage of java/lang/ProcessBuilder.([Ljava/lang/String;)V can be vulnerable to Command Injection" 声纳消息?
已更新
void assign(String path, File jarFile) {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String command = "\"" + script.getAbsolutePath() + "\" " + password
+ " \"" + cert.getAbsolutePath() + "\""
+ " \"" + jarFile.getAbsolutePath() + "\"";
Process proc = new ProcessBuilder(command).start();
}
您可能会在当前的测试代码中推断出这里实际上没有滥用的可能性,但我怀疑这是生产代码,因为硬编码密码为“123”。像这样的代码往往会变形,如果您保留注入的可能性,您必须非常了解所有参数的来源才能排除注入。如果你做对了,你就不用那么小心参数了。
另外,漏洞扫描器不可能这么聪明。谁知道 Sonar 在寻找什么,但它抱怨 ProcessBuilder 构造函数的这个特殊变体。也许它可以识别输入字符串中的空格并知道那里有参数。谁知道。无论如何,真的没有理由不使用更强大的构造函数版本。我希望这样做可以避免出现此消息。
就像 SQL 一样,答案是将各个参数传递给 ProcessBuilder,如下所示:
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
Process proc = new ProcessBuilder(command).start();
}
这确保代码知道可执行文件本身和参数之间的区别,因此可执行文件不会那么容易被操纵。这也使这个特定的代码更清晰、更易于阅读。
请注意,即使在这种情况下,要确保此代码是安全的,您也需要深入了解 File.getAbsolutePath() and/or 的行为'path' 和 'jarFile' 的确切来源。有可能 File 可以从 getAbsolutePath 被操纵到 return 一些不好的东西。我并不是说它可以,但我不知道这两种方式的事实正是我想要使用 ProcessBuilder 构造函数的多字符串变体的原因。
更新:因此 Sonar 仍在抱怨此表单。事实证明,这个新版本仍然使用相同的构造函数,因为构造函数是一个可以接受 "one or more" 字符串的可变参数构造函数。我认为我提供的原始解决方案确实解决了注入问题,但是Sonar无法识别我们已经分离出命令参数的事实。
有一个采用列表而不是数组的 ProcessBuilder 构造函数。我的示例的这个版本使用了该构造函数。
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
List<String> commandList = Arrays.asList(command);
Process proc = new ProcessBuilder(commandList).start();
}
希望 Sonar 对此感到满意。我猜这种构建 ProcessBuilder 的方式正是它正在寻找的。
如何避免以下代码的 "This usage of java/lang/ProcessBuilder.([Ljava/lang/String;)V can be vulnerable to Command Injection" 声纳消息?
已更新
void assign(String path, File jarFile) {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String command = "\"" + script.getAbsolutePath() + "\" " + password
+ " \"" + cert.getAbsolutePath() + "\""
+ " \"" + jarFile.getAbsolutePath() + "\"";
Process proc = new ProcessBuilder(command).start();
}
您可能会在当前的测试代码中推断出这里实际上没有滥用的可能性,但我怀疑这是生产代码,因为硬编码密码为“123”。像这样的代码往往会变形,如果您保留注入的可能性,您必须非常了解所有参数的来源才能排除注入。如果你做对了,你就不用那么小心参数了。
另外,漏洞扫描器不可能这么聪明。谁知道 Sonar 在寻找什么,但它抱怨 ProcessBuilder 构造函数的这个特殊变体。也许它可以识别输入字符串中的空格并知道那里有参数。谁知道。无论如何,真的没有理由不使用更强大的构造函数版本。我希望这样做可以避免出现此消息。
就像 SQL 一样,答案是将各个参数传递给 ProcessBuilder,如下所示:
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
Process proc = new ProcessBuilder(command).start();
}
这确保代码知道可执行文件本身和参数之间的区别,因此可执行文件不会那么容易被操纵。这也使这个特定的代码更清晰、更易于阅读。
请注意,即使在这种情况下,要确保此代码是安全的,您也需要深入了解 File.getAbsolutePath() and/or 的行为'path' 和 'jarFile' 的确切来源。有可能 File 可以从 getAbsolutePath 被操纵到 return 一些不好的东西。我并不是说它可以,但我不知道这两种方式的事实正是我想要使用 ProcessBuilder 构造函数的多字符串变体的原因。
更新:因此 Sonar 仍在抱怨此表单。事实证明,这个新版本仍然使用相同的构造函数,因为构造函数是一个可以接受 "one or more" 字符串的可变参数构造函数。我认为我提供的原始解决方案确实解决了注入问题,但是Sonar无法识别我们已经分离出命令参数的事实。
有一个采用列表而不是数组的 ProcessBuilder 构造函数。我的示例的这个版本使用了该构造函数。
void assign(String path, File jarFile) throws IOException {
File cert = new File(path, "Cert");
String password = "123";
File script = new File(path, "assign.bat");
String[] command = {
script.getAbsolutePath(),
password,
cert.getAbsolutePath(),
jarFile.getAbsolutePath()
};
List<String> commandList = Arrays.asList(command);
Process proc = new ProcessBuilder(commandList).start();
}
希望 Sonar 对此感到满意。我猜这种构建 ProcessBuilder 的方式正是它正在寻找的。