ejecución del comando Java sin Runtime.exec

4

Estoy tratando de encontrar todas las formas en que uno podría ejecutar comandos en java. El objetivo es hacer una lista de palabras clave para listas negras en herramientas y filtros de análisis de código estático.

Hasta ahora solo he encontrado Runtime.exec () que parece incorrecto, ya que tiene que haber otra forma sin usar bibliotecas.

    
pregunta ndp 02.03.2017 - 16:54
fuente

2 respuestas

2

También debe consultar ProcessBuilder . Pero, como lo indica la torre, este enfoque ignora todas las vulnerabilidades sutiles que vienen con Java. Por lo tanto, también debería analizar el análisis de XML no seguro (que puede llevar a XXE) y debe evitar la deserialización de objetos que no sean de confianza (VEEEEEEEEEEERY peligroso). Y tal vez algunos más.

    
respondido por el kaidentity 03.03.2017 - 08:51
fuente
2

Java como plataforma, y los desarrolladores atraídos por esta plataforma, son ingenuos. Los shells son extremadamente comunes en el ecosistema de Java, y especialmente en las aplicaciones web. Las formas más comunes en que utilizo las aplicaciones Java son las siguientes (no ordenadas):

respondido por el rook 02.03.2017 - 17:06
fuente

Lea otras preguntas en las etiquetas