Sto cercando di trovare tutti i modi in cui si possono eseguire comandi in java. L'obiettivo è creare un elenco di parole chiave per le blacklist in strumenti e filtri di analisi del codice statico.
Finora ho trovato solo Runtime.exec () che sembra non corretto poiché ci deve essere un altro modo senza usare le librerie.
Dovresti anche dare un'occhiata a ProcessBuilder . Ma, come indica la torre, questo approccio ignora tutte le sottili vulnerabilità che accompagnano Java. Quindi dovresti anche considerare l'analisi XML non sicura (che può portare a XXE) e dovresti evitare la deserializzazione di oggetti non fidati (VEEEEEEEEEEERY pericoloso). E forse ancora.
Java come piattaforma, e gli sviluppatori attratti da questa piattaforma, sono entrambi ingenui. Le conchiglie sono estremamente comuni nell'ecosistema Java e in particolare nelle applicazioni web. I modi più comuni con cui shell le app Java sono le seguenti (non ordinate):