Esecuzione del comando Java senza Runtime.exec

4

Sto cercando di trovare tutti i modi in cui si possono eseguire comandi in java. L'obiettivo è creare un elenco di parole chiave per le blacklist in strumenti e filtri di analisi del codice statico.

Finora ho trovato solo Runtime.exec () che sembra non corretto poiché ci deve essere un altro modo senza usare le librerie.

    
posta ndp 02.03.2017 - 16:54
fonte

2 risposte

2

Dovresti anche dare un'occhiata a ProcessBuilder . Ma, come indica la torre, questo approccio ignora tutte le sottili vulnerabilità che accompagnano Java. Quindi dovresti anche considerare l'analisi XML non sicura (che può portare a XXE) e dovresti evitare la deserializzazione di oggetti non fidati (VEEEEEEEEEEERY pericoloso). E forse ancora.

    
risposta data 03.03.2017 - 08:51
fonte
2

Java come piattaforma, e gli sviluppatori attratti da questa piattaforma, sono entrambi ingenui. Le conchiglie sono estremamente comuni nell'ecosistema Java e in particolare nelle applicazioni web. I modi più comuni con cui shell le app Java sono le seguenti (non ordinate):

risposta data 02.03.2017 - 17:06
fonte

Leggi altre domande sui tag