如果需要在服务端代码中使用Runtime.getRuntime().exec(cmd)或ProcessBuilder等执行操作系统命令,则禁止从客户端获取命令,且尽量不要从客户端获取命令的参数。若代码逻辑中必须从客户端获取命令参数,必须采用正则表达式对参数进行严格的校验。
防御方法:
1.外部输入的参数需要做输入校验,对&|<>等特殊符号需要做过滤。
2.外部拼凑的执行命令不可以直接写入文件中执行。
3.最后执行者不是root用户,或者root权限的用户。
4.构造输入超过该点功能限制的命令(无法直接输入时,使用burpsuite拦截请求后输入),如mkdir,rm file等