서버 측 코드 삽입 (PHP)
설명
대상 애플리케이션은 코드 삽입에 취약한 것으로 발견되었습니다. 악의적인 사용자는 서버에서 실행될 임의의 PHP 코드를 주입할 수 있습니다. 이로 인해 저장된 비밀 정보에 액세스하거나 계정을 탈취하거나 OS 명령을 실행하여 시스템을 완전히 손상시킬 수 있습니다.
조치
사용자 입력을 eval과 같이 문자열 데이터를 코드로 평가하는 함수에 직접 전달하지 마십시오. eval에 문자열 값을 전달하는 것에 거의 이익이 없으므로 현재 로직을 사용자 입력과 동적으로 평가하는 더 안전한 구현으로 교체하는 것이 가장 좋은 권장 사항입니다. 대안 중 하나는 기대되는 사용자 입력을 배열 키에 저장하고 해당 키를 사용하여 함수를 실행하는 것입니다:
$func_to_run = function()
{
print('hello world');
};
$function_map = array();
$function_map["fn"] = $func_to_run; // 여기에 추가 입력을 함수 매핑값으로 저장
$input = "fn";
// "fn"을 키로 찾아냄
if (array_key_exists($input, $function_map)) {
// "fn" 배열 해시 값에 저장된 $func_to_run을 실행
$func = $function_map[$input];
$func();
} else {
print('잘못된 입력');
}
세부 정보
| ID | 집계된 것 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 94.1 | false | 94 | 활성 | 높음 |
도움말