建议增加命令执行安全机制，防止被恶意利用

[BigBossWHD]

问题描述

当前API允许通过接口执行任意系统命令，虽然适用于渗透测试和攻防演练场景，但如果部署在公网或被未授权用户访问，存在被恶意利用的高危风险。

复现POC

1. 启动服务后，任何人只要能访问API端口，即可通过如下请求执行任意命令：

curl -X POST http://<server_ip>:5000/api/command -H 'Content-Type: application/json' -d '{"command": "id"}'

2. 也可以通过其他API路由（如nmap、hydra等）传入恶意参数，执行系统命令。

建议

• 增加API访问权限校验（如Token、IP白名单等）
• 对可执行命令进行白名单限制，防止任意命令注入
• 增加操作日志审计，便于追溯
• 明确在文档中提示风险，建议仅在受控环境下使用

参考

• OWASP API Security Top 10
• API安全最佳实践

---

如需进一步协助可联系AI助手。

[Wh0am123]

This is something I am aware of and plan to push a fix on soon when I get a bit free:)
Will update you when I make the needed updates.