서버 측 코드 인젝션 (Python)

설명

대상 응용 프로그램은 코드 인젝션에 취약하다는 것을 발견했습니다. 악의적인 사용자는 임의의 Python 코드를 서버에서 실행할 수 있습니다. 이로 인해 저장된 비밀을 액세스하거나 계정을 탈취하거나 OS 명령을 실행하여 시스템 전체를 손상시킬 수 있습니다.

치료

사용자 입력을 eval 또는 exec과 같이 문자열 데이터를 코드로 평가하는 함수에 직접 전달하지 마십시오. 이러한 메서드에 문자열 값을 전달하는 것에는 거의 이점이 없으므로, 현재 로직을 사용자 입력을 동적으로 평가하는 더 안전한 구현으로 대체하는 것이 가장 좋은 권장 사항입니다. 대안 중 하나는 키를 사용하여 조회할 수 있는 해시 맵에 함수나 메서드를 저장하는 것입니다. 키가 존재하면 해당 함수를 실행할 수 있습니다.

def func_to_run():
    print('hello world')

function_map = {'fn': func_to_run}

input = 'fn'

if input in function_map:
    function_map[input]()
else:
    print('invalid input')

세부 정보

ID	집계됨	CWE	유형	위험
94.3	false	94	활성	높음

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기