Java から OS のプロセスの起動

Java から OS のプロセスを起動する際に、渡している引数等が安全であるかどうか確認する必要があるかチェックしてみた。

(1)Runtime クラスから Process を生成して実行してみる。

public class Main {
    public static void main(String[] args) throws Exception {
        Runtime r = Runtime.getRuntime();
        Process p = r.exec("cmd.exe /c dir | grep \\.");

        byte[] b = new byte[8192];
        int n;

        FileOutputStream stdout = new FileOutputStream("stdout.txt");
        BufferedInputStream binstd = new BufferedInputStream(p.getInputStream());
        while ((n = binstd.read(b)) != -1) {
            stdout.write(b, 0, n);
        }
        stdout.close();

        FileOutputStream stderr = new FileOutputStream("stderr.txt");
        BufferedInputStream binerr = new BufferedInputStream(p.getErrorStream());
        while ((n = binerr.read(b)) != -1) {
            stderr.write(b, 0, n);
        }
        stderr.close();

    }
}

結果、「.」を含むディレクトリだけが stdout.txt に表示された。

(2)ProcessBuilderを生成して、command で複数の引数を渡してみる。

public class Main {
    public static void main(String[] args) throws Exception {
        ProcessBuilder pb = new ProcessBuilder();

        pb.command("cmd.exe", "/c", "dir", "|", "grep", "\\.");
        pb.redirectOutput(new File("stdout.txt"));
        pb.redirectError(new File("stderr.txt"));

        pb.start();

    }
}

結果、「.」を含むディレクトリだけが stdout.txt に表示された。

(3)結論
パイプが解釈されてしまうため、プロセスを生成するときは、コマンド文字列をチェックしなければいけないようだ。

カテゴリー: Java, セキュリティ | 投稿日: | 投稿者:
このエントリーをはてなブックマークに追加
Facebookページも「いいね!」っとしていただけたら嬉しいです!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.