In che modo ProcessBuilder evita l'iniezione del comando OS?

Naviga le tue risposte
1

mentre capisco che l'iniezione del comando OS deve avere l'input non attendibile per essere convalidato, vedo che le persone suggeriscono di usare ProcessBuilder(...).start() su Runtime.getRuntime().exec(..) ; questo perché ProcessBuilder non accetta che il comando sia eseguito come una singola stringa?

    
posta Tech Junkie 02.02.2018 - 09:50
fonte

1 risposta

0

Ho superato questa vulnerabilità utilizzando il metodo executeSystemCommand di ESAPI che internamente sembra utilizzare ProcessorBuilder dopo aver convalidato l'input.

    
risposta data 16.03.2018 - 18:48
fonte

Leggi altre domande sui tag

È meglio avere dati HIPAA spinti a me o tirarli e in che modo tali soluzioni differiscono da un punto di vista dell'infrastruttura e della sicurezza? Usando burp-rest-api, come posso accedere alla mia applicazione web per cercare vulnerabilità?