서버 측 코드 인젝션 (Python)

설명

대상 응용 프로그램은 코드 인젝션에 취약하다는 것을 발견했습니다. 악의적인 사용자는 서버에서 실행되는 임의의 Python 코드를 삽입할 수 있습니다. 이로 인해 저장된 비밀을 액세스하거나 계정을 탈취하기 위해 코드를 삽입하거나 OS 명령을 실행하여 시스템 전체가 손상될 수 있습니다.

복구

사용자 입력을 eval 또는 exec와 같이 문자열 데이터를 코드로 평가하는 함수에 직접 전달해서는 안 됩니다. 이러한 메서드에 문자열 값을 전달하는 건 거의 이점이 없으며, 이에 따라 현재 논리를 더 안전한 구현체로 대체하는 것이 가장 좋은 권장 사항입니다. 대체 방법 중 하나는 함수나 메서드를 키를 사용하여 조회할 수 있는 해시맵에 저장하는 것입니다. 키가 존재하면 해당 함수를 실행할 수 있습니다.

def func_to_run():
    print('hello world')

function_map = {'fn': func_to_run}

input = 'fn'

if input in function_map:
    function_map[input]()
else:
    print('유효하지 않은 입력')

Details

ID	Aggregated	CWE	Type	Risk
94.3	false	94	Active	high

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기