命令注入攻击及其防范措施

命令注入攻击是一种通过有漏洞的应用程序在主机操作系统上执行任意命令的攻击。 当应用程序将不安全的用户输入数据（如表单、cookie、HTTP 标头等）传递给系统命令执行时，可能会发生命令注入攻击。

命令注入攻击的原理

命令注入攻击利用了应用程序执行系统命令时未对用户输入进行适当的验证或过滤的漏洞。攻击者通过将恶意命令注入到用户输入中，迫使应用程序执行这些恶意命令，从而获取未授权的访问权限或执行恶意操作。

示例攻击场景

假设有一个Web应用程序允许用户通过HTTP请求执行系统命令，而用户输入未经过严格的验证。在这种情况下，攻击者可以通过注入恶意命令来执行任意系统命令。

public String executeSystemCommand(HttpServletRequest request) throws ServletException, IOException {
    String commandResult = "";
    String userCommand = request.getParameter("Command");
    try {
        ProcessBuilder builder = new ProcessBuilder("/bin/sh/", "-c", userCommand);
        Process subProc = builder.start();
        BufferedReader irProcOutput = new BufferedReader(new InputStreamReader(subProc.getInputStream()));
        String line = null;
        while ((line = irProcOutput.readLine()) != null)
            commandResult += line;
        irProcOutput.close();
    } catch (Exception ex) {
        handleExceptions(ex);
    }
    return commandResult;
}

在以上代码中，如果userCommand包含恶意命令，攻击者就可以利用这一漏洞执行任意系统命令。

防范命令注入攻击的有效措施

1. 避免直接的Shell命令执行

最有效的防范措施之一是避免在代码中直接执行Shell命令。相反，可以使用平台提供的API或库调用来实现相同的功能。

public String performSpecificAction_LibraryAPI(HttpServletRequest request) throws ServletException, IOException {
    String result = "";
    String userParam = request.getParameter("Parameter");
    try {
        OpenSysLibrary api = new OpenSysLibrary();
        result = api.doSpecificAction(userParam);
    } catch (Exception ex) {
        handleExceptions(ex);
    }
    return result;
}

2. 仅执行静态命令

如果必须执行命令，确保仅执行静态命令，不包含动态、用户可控制的参数。

3. 过滤输入中的危险字符

从用户输入中过滤掉危险字符，例如：&, &&, |, ||, ;, 换行符（0x0a 或 \n）。

public String executeSystemCommand_WithParameters(HttpServletRequest request) throws ServletException, IOException {
    String commandResult = "";
    String userCommand = request.getParameter("Command");
    userCommand = userCommand.replaceAll("[^A-Za-z0-9]", "");
    try {
        ProcessBuilder builder = new ProcessBuilder("/bin/sh/", "-c", PROGRAM_NAME, userCommand);
        Process subProc = builder.start();
        BufferedReader irProcOutput = new BufferedReader(new InputStreamReader(subProc.getInputStream()));
        String line = null;
        while ((line = irProcOutput.readLine()) != null)
            commandResult += line;
        irProcOutput.close();
    } catch (Exception ex) {
        handleExceptions(ex);
    }
    return commandResult;
}

4. 使用白名单验证

对允许输入的值进行白名单验证，仅允许合法的输入值通过验证。

5. 限制应用程序的权限

根据最小权限原则，限制应用程序所使用的操作系统用户的权限，使其仅能执行必要的系统命令。

参考代码示例

以下是Java和C#中调用外部程序的安全代码示例：

Java 示例

public String executeSystemCommand_WithParameters(HttpServletRequest request) throws ServletException, IOException {
    String commandResult = "";
    String userCommand = request.getParameter("Command");
    userCommand = userCommand.replaceAll("[^A-Za-z0-9]", "");
    try {
        ProcessBuilder builder = new ProcessBuilder("/bin/sh/", "-c", PROGRAM_NAME, userCommand);
        Process subProc = builder.start();
        BufferedReader irProcOutput = new BufferedReader(new InputStreamReader(subProc.getInputStream()));
        String line = null;
        while ((line = irProcOutput.readLine()) != null)
            commandResult += line;
        irProcOutput.close();
    } catch (Exception ex) {
        handleExceptions(ex);
    }
    return commandResult;
}

C# 示例

public string ExecuteSystemCommand_WithParameters(HttpRequest request) {
    string output;
    string userParams = request.Form["ExeParams"];
    using (Process subProc = new Process()) {
        subProc.StartInfo.FileName = PATH_TO_EXTERNAL_PROGRAM;
        subProc.StartInfo.Arguments = sanitizeForProcess(userParams);
        subProc.StartInfo.UseShellExecute = false;
        subProc.StartInfo.RedirectStandardOutput = true;
        subProc.Start();
        output = subProc.StandardOutput.ReadToEnd();
        subProc.WaitForExit(MAX_TIMEOUT);
    }
    return output;
}

通过实施这些防范措施，可以有效地降低命令注入攻击的风险，保护应用程序和系统的安全。

参考链接

• OWASP Command Injection
• Java ProcessBuilder Documentation
• C# Process Class Documentation