In che modo ProcessBuilder evita l'iniezione del comando OS?

1

mentre capisco che l'iniezione del comando OS deve avere l'input non attendibile per essere convalidato, vedo che le persone suggeriscono di usare ProcessBuilder(...).start() su Runtime.getRuntime().exec(..) ; questo perché ProcessBuilder non accetta che il comando sia eseguito come una singola stringa?

    
posta Tech Junkie 02.02.2018 - 09:50
fonte

1 risposta

0

Ho superato questa vulnerabilità utilizzando il metodo executeSystemCommand di ESAPI che internamente sembra utilizzare ProcessorBuilder dopo aver convalidato l'input.

    
risposta data 16.03.2018 - 18:48
fonte

Leggi altre domande sui tag