13
以下是危险的吗?JSON可以安全地用作命令行参数还是需要首先进行消毒?
$ myscript '<somejsoncreatedfromuserdata>'
如果是这样,我该怎么做才能使它不危险?
我意识到这可以依赖于shell,OS,用于进行系统调用的实用程序(如果在编程语言中完成的)等。但是,我只想知道我应该看什么类型的东西为...而出。
A
回答
14
是的。这很危险。
JSON可以在字符串值中包含单引号(它们不需要转义)。请参阅json.org的“曲目”。
想象中的数据是:
{"pwned": "you' & kill world;"}
编码愉快。
我会考虑的问题在管道中的数据的程序(例如使用"popen"或"exec"直接传递参数,甚至一个版本) - 这可以避免穿过外壳,例如导致问题。就像使用SQL一样:使用占位符消除了“逃避”的琐事。
如果穿过外壳是唯一的办法,那么这可能是一种选择(它没有测试过,但类似的东西有效,对于一个“< SCRIPT>”上下文):
对于每一个字符在JSON中,在ASCII中“空格”到“〜”的范围之外,或者在外壳的''上下文中具有特殊含义,如\和'(但不包括"或任何其他字符 - 例如作为数字 - 可以出现外部的“字符串”数据,这是这种不重要的方法的限制),然后enc使用\uXXXX JSON表单对字符进行说明。 (根据上面定义的限制,这应该只编码出现在JSON的“字符串”内的潜在有害字符,并且不应该有\\对,没有结尾\和没有' s等)
+1
凉豆。我实际上使用python子进程模块,所以我很确定我会在Popen类中安全,但总体上还是很好奇。 – 2011-04-29 05:02:29
相关问题
- 1. 是否需要对JSON进行消毒?
- 2. 需要从命令行运行Windows安全对话框
- 3. 在C#中命令行安全地转义参数
- 4. 可选地传递命令行参数?
- 5. 安全方便地对用户输入和输出进行安全消毒的真正方法是什么
- 6. 是否可以给管道char'|'作为命令行参数?
- 7. 我可以要求用户重新输入命令行参数
- 8. 安全地使用AtomicInteger首先检查
- 9. 可选命令行参数
- 10. 命令行可选参数
- 11. 用于命令行参数的JSON
- 12. 使用命令行参数安装IIS8
- 13. 何时可以安全地在SQL命令中使用非参数化变量?
- 14. 需要Torch命令行脚本而不解析命令行参数
- 15. 使用Golang安全地执行命令(避免远程执行)
- 16. 多PowerShell命令需要从命令行
- 17. 为什么windbg命令首先。要么 !
- 18. 需要使Javamail更加安全地进行Gmail身份验证
- 19. AWS命令行工具需要重新编码以确保安全登录?
- 20. 期望的'spawn'命令是否安全地传递参数?
- 21. Java中,新手需要帮助使用命令行参数
- 22. 需要帮助python命令行参数使用argparse
- 23. 使用ProcessBuilder执行需要命令行输入的命令
- 24. 如何安全地执行shell命令作为web服务
- 25. 你可以设置TARGETDIR作为命令行参数吗?
- 26. 自动执行需要用数千个不同参数运行的命令
- 27. 不是可以从八度通过命令行参数
- 28. 是否可以在vimscript中访问vim的命令行参数?
- 29. 是否可以从命令行传递关键字参数?
- 30. UVM是否可以标记错误的命令行参数?
AFAIK,这不应该有害,因为正确和有效的JSON总是会有括号包装它,除非你在命令行上运行JSON中的任何参数,否则你应该是安全的。 – 2011-04-29 04:12:56
你控制它的输入和处理吗?你收到的json对象怎么做? – ljkyser 2011-04-29 04:13:26
在这个理论的例子中,一旦我得到了输入,我就放弃它,或者做任何我想要的安全的事情。我只想知道JSON中的某些字段是如何轻松地避免引号执行某种命令行注入攻击的。 – 2011-04-29 05:06:13