如何解决Environment.GetCommandLineArgs() 可能会得到一个不受信任的字符串
我们使用 Checkmarx 来检查我们的项目。
结果显示 Environment.GetCommandLineArgs() 可能获得不受信任的字符串,并可能允许攻击者注入任意命令。
var args = Environment.GetCommandLineArgs();
var ls = new List<string>(args.Skip(1).Select(arg => QuoteDotNetCommandLineArg(arg)));
Process.Start(new processstartinfo()
{
FileName = args[0],Arguments = string.Join(" ",ls.ToArray()),UseShellExecute = false
});
如何预防?
解决方法
Checkmarx 发现您允许用户从您的程序运行任意应用程序。如果这是正确的行为而不是安全风险,那么您可以转到 Checkmarx 并标记要忽略的警告。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
