0
我有一個Java程序,它使用user.home系統屬性來獲取用戶主目錄。 該程序不應允許在命令行上使用user.home屬性。如果用戶從user.home(java -Duser.home)的命令行傳遞錯誤的目錄,那麼我的程序就會有安全漏洞。如何在命令行上避免Java系統屬性?
那麼如何限制user.home從命令行,它應該只使用通過程序?
A
回答
3
無法保證user.home設置正確。
user.home從$HOME環境變量初始化,如果它不直接傳遞給JVM。
不可能阻止用戶修改他們自己的環境。
相關問題
- 1. 如何避免系統命令執行成功的消息?
- 2. 如何使用Gradle命令行設置Java系統屬性?
- 3. 避免找回DocumentDb系統屬性
- 4. 如何避免在Python中覆蓋系統庫的屬性?
- 5. 如何避免打印「迴響」用系統命令用C
- 6. 從命令行讀取Java系統屬性
- 7. 使用命令行的Java設置系統屬性
- 8. Java命令行中的嵌套系統屬性
- 9. 從命令行獲取java進程的「user.dir」系統屬性
- 10. 設置多個系統屬性Java命令行
- 11. Java中的命令行參數vs文件屬性(* .properties)與系統屬性(-D)
- 12. 在Windows上爲jar命令設置系統屬性
- 13. 如何避免在Python模塊系統中命名衝突?
- 14. Java無法執行系統命令(Ubuntu)
- 15. 如何在命令行上將系統屬性傳遞給自包含的Java應用程序
- 16. 系統命令 - Java的
- 17. 如何在java腳本中執行系統命令?
- 18. 如何在Java/Groovy中進行系統命令調用?
- 19. Grails「war」命令,如何設置系統屬性
- 20. 如何避免系統日期依賴?
- 21. Android - 如何避免系統的onClick?
- 22. cmake如何避免系統庫
- 23. Java如何確定'file.encoding'系統屬性?
- 24. 如何避免在PHP動態屬性
- 25. 在Mac上使用Java執行系統命令
- 26. 在Windows 7上,Java JVM如何設置「user.home」系統屬性?
- 27. 如何避免在命名模型屬性時發生衝突?
- 28. 如何在heroku服務器上運行系統命令?
- 29. 如何在HDFS中的文件上運行系統命令?
- 30. 如何在遠程系統上執行BASH腳本的命令?
如果您的設計依賴於'user.home'來確保安全,則無論用戶是否可以在命令行中將其指定爲屬性,您的程序都將是不安全的。 –
如果用戶有權訪問另一個用戶的主目錄,則無需運行Java就會有潛在的安全問題。 –
我建議在你的用例中詳細描述'user.home'對安全敏感的原因。 –