コードの一部のセキュリティの問題を調査していますが、System.out.println("");ステートメントから抜け出して文字列を実行可能コードとして扱う方法があるかどうか疑問に思っていましたか?
たとえば、次の2行があります。
String exit = "System.exit(0);";
System.out.println(exit);
そのため、コンソールに出力する代わりに、"System.exit(0);"JVM がそれを実行可能コードとして処理するようにします。それは可能ですか?もしそうなら、誰かがそれを行う方法についてアイデアを持っていますか?
ありがとうございました
それは可能ですか?
いいえ。
最初に意図的に JVM などをいじらないわけではありません。
それが可能だ:
次に、文字列を受け入れる単一のメソッドを持つクラスを作成し、次の 4 つの手順をすべて実行します。
JavaInterpreter.execute("System.exit(0);");
はい、可能です。概念的には簡単ですが、実装するのは非常に困難です。私は自分の答えをテストしないので、完全に間違っているかもしれません。
カスタム PrintStream クラスを記述します。この PrintStream は、入力行ごとに次のような文字列を生成する必要があります
public class Xid implements Runnable { public void run ( ) { line } }
ここで、id は各行で一意であり、line は行のテキストです。
次に、そのテキストをコンパイラに送信する必要があります。
次に、クラス Xid をロードし、そのインスタンスを作成して実行します。
そのような PrintStream クラスを作成したら、そのインスタンスを作成してSystem.setOut(out)outを使用します。
コードの一部でいくつかのセキュリティの問題を調査しており、System.out.println(""); から抜け出す方法があるかどうか疑問に思っていました。文字列を実行可能コードとして扱いますか?
エモリーの答えによると、これを行うことは可能です。ただし、それを行うには、まずアプリケーションにコードを挿入できる必要があります (*)。また、コードを挿入できる場合は、JVM をシャットダウンするはるかに簡単な方法があります。そう:
* このコード インジェクションは、既存または新規の Java セキュリティ ホールの使用を伴う可能性があります。または、単に Java アプリケーションのソース コードまたはビルド プロセスの変更、またはホスト コンピューターの侵害後のアプリケーションのバイトコードの変更を伴う可能性があります。