在這篇文章中，我們將學(xué)習(xí)正確使用Node.js調(diào)用系統(tǒng)命令的方法，以避免常見的命令行注入漏洞。

我們經(jīng)常使用的調(diào)用命令的方法是最簡(jiǎn)單的child_process.exec。它有很一個(gè)簡(jiǎn)單的使用模式;通過(guò)傳入一段字符串命令，并把一個(gè)錯(cuò)誤或命令處理結(jié)果回傳至回調(diào)函數(shù)中。

這里是你通過(guò)child_process.exec調(diào)用系統(tǒng)命令一個(gè)非常典型的例子。

不過(guò)，當(dāng)你需要在你調(diào)用的命令中添加一些用戶輸入的參數(shù)時(shí)，會(huì)發(fā)生什么？顯而易見的解決方案是把用戶輸入直接和您的命令進(jìn)行字符串合并。但是，我多年的經(jīng)驗(yàn)告訴我：當(dāng)你將連接的字符串從一個(gè)系統(tǒng)發(fā)送到另一個(gè)系統(tǒng)時(shí)，總有一天會(huì)出問(wèn)題。

為什么連接字符串會(huì)出問(wèn)題？

嗯，因?yàn)樵赾hild_process.exec引擎下，將調(diào)用執(zhí)行"/bin/sh"。而不是目標(biāo)程序。已發(fā)送的命令只是被傳遞給一個(gè)新的"/bin/ sh'進(jìn)程來(lái)執(zhí)行shell。 child_process.exec的名字有一定誤導(dǎo)性 - 這是一個(gè)bash的解釋器，而不是啟動(dòng)一個(gè)程序。這意味著，所有的shell字符可能會(huì)產(chǎn)生毀滅性的后果，如果直接執(zhí)行用戶輸入的參數(shù)。

比如，攻擊者可以使用一個(gè)分號(hào)";"來(lái)結(jié)束命令，并開始一個(gè)新的調(diào)用，他們可以使用反引號(hào)或$（）來(lái)運(yùn)行子命令。還有很多潛在的濫用。

那么什么是正確的調(diào)用方式？

execFile / spawn

像spawn和execFile采用一個(gè)額外的數(shù)組參數(shù)，不是一個(gè)shell環(huán)境下可以執(zhí)行其他命令的參數(shù)，并不會(huì)運(yùn)行額外的命令。

讓我們使用的execFile和spawn修改一下之前的例子，看看系統(tǒng)調(diào)用有何不同，以及為什么它不容易受到命令注入。

child_process.execFile

child_process.spawn

使用 spawn 替換的例子很相似。

運(yùn)行的系統(tǒng)調(diào)用

當(dāng)使用spawn或execfile時(shí)，我們的目標(biāo)是只執(zhí)行一個(gè)命令（參數(shù)）。這意味著用戶不能運(yùn)行注入的命令，因?yàn)?bin/ls并不知道如何處理反引號(hào)或pipe或;。它的/bin/bash將要解釋的是那些命令的參數(shù)。它類似于使用將參數(shù)傳入SQL查詢(parameter)，如果你熟悉的話。

但還需要警告的是：使用spawn或execFile并不總是安全的。例如，運(yùn)行 /bin/find，并傳入用戶輸入?yún)?shù)仍有可能導(dǎo)致系統(tǒng)被攻陷。 find命令有一些選項(xiàng)，允許讀/寫任意文件。

所以，這里有一些關(guān)于Node.js運(yùn)行系統(tǒng)命令的指導(dǎo)建議：

避免使用child_process.exec，當(dāng)需要包含用戶輸入的參數(shù)時(shí)更是如此，請(qǐng)牢記。
盡量避免讓用戶傳入?yún)?shù)，使用選擇項(xiàng)比讓用戶直接輸入字符串要好得多。
如果你必須允許用戶輸入?yún)?shù)，請(qǐng)廣泛參考該命令的參數(shù)，確定哪些選項(xiàng)是安全的，并建立一個(gè)白名單。

最新評(píng)論