远程代码执行 漏洞案例

RCE (Remote Code Execution), 远程代码执行漏洞,这里包含两种类型漏洞:

命令注入(Command Injection),在某种开发需求中,需要引入对系统本地命令的支持来完成特定功能,当未对输入做过滤时,则会产生命令注入
代码注入(Code Injection),在正常的java程序中注入一段java代码并执行,即用户输入的数据当作java代码进行执行。

运行
漏洞代码 - ProcessBuilder方式


运行
漏洞代码 - Runtime方式


运行
漏洞代码 - 脚本引擎代码注入


运行
漏洞代码 - Groovy执行命令


运行
漏洞代码 - ProcessImpl


运行
安全代码 - 过滤特殊字符