如何使用 JSR 223 保护脚本安全?
我使用 Groovy 作为动态脚本引擎,以允许我的 Web 应用程序的管理员用户创建小脚本作为界面解决方案的一部分,例如。进行简单的字符串操作、标记化等。
不幸的是,这打开了一个相当大的漏洞,因为默认情况下脚本引擎会执行任何内容。
我在这里描述了一个演示应用程序: http:// javadude.wordpress.com/2011/06/29/creating-a-zk-groovy-console/
Object value = shell.evaluate("whatever groovy script");
您可以执行System.exit(0)它会关闭 AS 甚至像 "ls -l".execute().text 这样的 shell 命令,或者只是窥探系统设置 println InetAddress.localHost.hostAddress
我可以这样做执行前的字符串检查,例如 System.xyz 或 execute.xyz 的过滤器
I use Groovy as dynamic script engine to allow admin users of my web application to create little scripts as part of an interface solution, eg. do simple string operations, tokenize and so on.
Unfortunately that opens quite a big loophole because per default the script engine would execute anything.
I described a demo app here: http://javadude.wordpress.com/2011/06/29/creating-a-zk-groovy-console/
Object value = shell.evaluate("whatever groovy script");
You can execute System.exit(0) which shuts down the AS or even shell commands like "ls -l".execute().textor just snoop around system settings println InetAddress.localHost.hostAddress
I could do a string check before executing, like filter for System.xyz or execute.xyz
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
使用groovy 1.8,您可以自定义编译器配置
有一个 博客文章在这里解释了更多。
您还应该阅读:
With groovy 1.8, you can customize the compiler configuration
There's a blog post here which explains more.
You should aso read: