命令注入漏洞简介

如果需要在服务端代码中使用Runtime.getRuntime().exec(cmd)或ProcessBuilder等执行操作系统命令，则禁止从客户端获取命令，且尽量不要从客户端获取命令的参数。若代码逻辑中必须从客户端获取命令参数，必须采用正则表达式对参数进行严格的校验。

防御方法：

1.外部输入的参数需要做输入校验，对&|<>等特殊符号需要做过滤。

2.外部拼凑的执行命令不可以直接写入文件中执行。

3.最后执行者不是root用户，或者root权限的用户。

4.构造输入超过该点功能限制的命令（无法直接输入时，使用burpsuite拦截请求后输入），如mkdir，rm file等