ejecución del comando Java sin Runtime.exec

Question

ejecución del comando Java sin Runtime.exec

#1 de kaidentity (2 votos)
#2 de rook (2 votos)

4

Estoy tratando de encontrar todas las formas en que uno podría ejecutar comandos en java. El objetivo es hacer una lista de palabras clave para listas negras en herramientas y filtros de análisis de código estático.

Hasta ahora solo he encontrado Runtime.exec () que parece incorrecto, ya que tiene que haber otra forma sin usar bibliotecas.

java injection

pregunta ndp 02.03.2017 - 16:54

fuente

2 respuestas

2

Java como plataforma, y los desarrolladores atraídos por esta plataforma, son ingenuos. Los shells son extremadamente comunes en el ecosistema de Java, y especialmente en las aplicaciones web. Las formas más comunes en que utilizo las aplicaciones Java son las siguientes (no ordenadas):

Deserialization (Demasiado fácil, jboss, eres demasiado amable :)
Archivo IO inseguro (la inyección de bytes NULL sigue funcionando :)
recorrido del directorio del archivo (¿por qué es esto predeterminado?)
inyección de plantilla (en todas partes, en todos los idiomas)
Uso del panel de administración para cargar una guerra (credenciales predeterminadas ftw)
Cadenas Creative XXE (¿Por qué sigue siendo XXE el valor predeterminado? ¿Qué año es?)

respondido por el rook 02.03.2017 - 17:06

fuente

Lea otras preguntas en las etiquetas java injection

La cadena de confianza del certificado SSL muestra el certificado raíz con una clave pública de 1024 bits. ¿Es esta evidencia de un ataque MITM? ¿Debo evitar la implementación de archivos package.json o bower.json en producción?

score 2 · Accepted Answer

También debe consultar ProcessBuilder . Pero, como lo indica la torre, este enfoque ignora todas las vulnerabilidades sutiles que vienen con Java. Por lo tanto, también debería analizar el análisis de XML no seguro (que puede llevar a XXE) y debe evitar la deserialización de objetos que no sean de confianza (VEEEEEEEEEEERY peligroso). Y tal vez algunos más.