본문 바로가기
728x90
반응형

안전한코드1

Command Injection 방어 코드 1) test.jsp : OPTION의 value를 명령어가 아닌 코드로 수정 --- show File1.txt --- --- show Dir --- 2) TestController : 사용 가능한 운영체제 명령어를 화이트 리스트로 정의, 전달받은 코드에 해당하는 명령어만 실행String data = request.getParameter("data");String[] allowCommand = { "type", "dir" };try { data = allowCommand[Integer.parseInt(data)];} catch (NumberFormatException e) { buffer.append("허용되지 않은 요청입니다."); return buffer.toString();}if (data != n.. 2014. 11. 18.
728x90
반응형

티스토리툴바