SV.EXEC.ENV

将未检查的用户输入用于全部或部分由应用程序使用的环境变量时，会检测到该错误。

漏洞与风险

通常，在应用程序之内进行外部命令的创建或执行进程时，需要考虑安全因素。如果在用于执行的命令字符串的任意部分中使用用户输入，则存在严重的漏洞。攻击者可以更改环境变量，从而导致拒绝服务 (DoS)、数据损坏、数据安全性违规以及其他风险。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

可以通过验证所有来自应用程序外部的输入（例如用户输入、文件输入、系统参数等）防止来自用户输入的进程或命令注入攻击。验证应包括长度和内容。通常仅需要字母数字字符（即 A-Z、a-z、0-9）。应对任何其他接受的字符进行转义。在每个数据源处执行验证，例如从 HTTP 请求或用户界面（例如应用程序或控制台）读取每个参数时。

示例 1

11
12
13
14
15
16
17
     public void dataQuery(ServletRequest req) throws IOException {
         String var = "USER_HOME=" + req.getParameter("username");
         String[] env = new String[]{var};
         Process proc = Runtime.getRuntime().exec("processRequest", env);
         // parse results of command
         // ...
     }

针对第 14 行报告 SV.EXEC.ENV：“var”包含来自 HTTP 请求参数的数据，因此可能已被污染（第 12 行）。该值存储在第 13 行的字符串数组 env 中，然后用作第 14 行中的进程执行的参数。攻击者可更改环境变量以修改应用程序行为。

外部指导

• CERT IDS07-J：清理传递给 Runtime.exec() 方法的不受信任的数据
• CWE-78：对操作系统命令中所用特殊元素的不当中性化处理（“操作系统命令注入”）
• OWASP A1:2017 注入
• OWASP A3:2021 注入
• STIG-ID：APP3570 易受命令注入影响的应用程序
• STIG-ID：APP3760 Web 服务可用性
• STIG-ID：APP3780 Web 服务可用性

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 操作系统命令注入培训视频 - 用培训示例来检验您的技能

扩展

此检查器可通过 Klocwork 知识库进行扩展。有关详情，请参阅调整 Java 分析。