问题标签 [commandinjection]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

12 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
31 浏览

security - Convert.ToBase64String(Encoding.UTF8.GetBytes(input)) 可以防止命令注入吗?

根据我的经验,我们可以使用replace()过滤&&|防止命令注入。

我们的代码需要将base64String发送到另一个进程,但是有Stored Command Injectioncheckmarx扫描,可以Convert.ToBase64String(Encoding.UTF8.GetBytes(jsonFromDb))处理吗?或者我们仍然需要更换

0 投票
1 回答
40 浏览

linux - 检查此 awk 打印不易受到代码注入的影响

在将 IP 地址传递给程序之前,有 awk (BusyBox v1.26.2 awk) 语句可以解析 /proc/cmdline。而我无法改变它们。

/bin/t `awk 'BEGIN{FS="ip="}{print $2}' /proc/cmdline | awk 'BEGIN{FS=":"}{print $2}'`

这样 /proc/cmdline 中的 ip=192.168.0.1:192.168.0.2:xxx:xxx:xxxx 将打印 192.168.0.2 作为 /bin/t 的参数

我对 awk 不太熟悉,但我认为这是安全的,尝试注入一些会成为安全问题的东西(例如 $(reboot)、0.0.0.0`reboot` 等)会失败。(/bin/t 对传递给它的命令行参数有自己的检查)。

在这种情况下,攻击者可以控制 uboot bootargs 变量,因此可以控制 /proc/cmdline 中的 ip= 行。

我希望 awk 专家能够放心,如果可能的话,这是不可注射的。

非常感谢。

澄清说明:我可以在 /proc/cmdline 中放入任何导致 shell 执行的内容吗?


12345678910