명령어 주입: git ls-remote

Second-Order Command Injection (git ls-remote)

설명

사용자 입력이 그대로 git ls-remote의 원격 URL 자리에 들어가면, 입력이 옵션으로 해석되어 --upload-pack=<exec> 등 임의 실행 파일을 실행하도록 유도될 수 있습니다. execFile/spawn처럼 셸을 사용하지 않더라도, git 하위 명령의 인자 파싱 로직을 악용해 명령 실행이 가능하기 때문에 "두 번째 단계" 명령어 주입이라 부릅니다. 공격자는 원격 인자에 '-'로 시작하는 값을 주거나 특수 옵션을 포함시켜 서버에서 임의 코드를 실행할 수 있습니다.

잠재적 영향

원격 코드 실행 (RCE): git이 --upload-pack 등으로 지정된 프로그램을 실행하면서 서버에서 임의 명령이 수행될 수 있음
정보 유출: 프로세스 권한으로 접근 가능한 환경변수, 토큰, 소스 코드, 설정 파일 등이 노출될 수 있음
서비스 거부(DoS): 무한 대기/과도한 프로세스 생성 등으로 서버 자원이 고갈되어 서비스 중단 가능

해결 방법

사용자 입력을 git ls-remote의 원격 인자로 직접 전달하지 말 것
사전 등록(매핑) 방식 사용: 클라이언트로부터는 키(id)만 받게 하고, 서버에서 신뢰된 URL로 매핑
허용 목록 검증: https://, ssh://, git@만 허용. '-'로 시작하거나 공백/제어문자 포함, '--upload-pack'/'-u' 등의 위험 옵션 문자열이 보이면 즉시 거부
인자 경계 강제: 항상 ['ls-remote', '--', remote]처럼 '--'를 사용해 옵션 파싱이 원격 인자에 미치지 못하게 함

취약한 코드 및 안전한 코드 예시

취약한 코드

const http = require("http");
const { execFile } = require("child_process");

const server = http.createServer((req, res) => {
  const url = new URL(req.url, "http://localhost");
  if (url.pathname === "/remote") {
    const r = url.searchParams.get("r") || "";
    // 취약: 사용자 입력을 그대로 원격 인자로 전달
    execFile("git", ["ls-remote", r], (err, stdout, stderr) => {
      res.statusCode = 200;
      res.end("done");
    });
    return;
  }
  res.end("ok");
});

server.listen(3000);

안전한 코드

const express = require("express");
const { execFile } = require("child_process");
const app = express();

// 사전 등록된 안전한 리모트만 허용
const REMOTE_MAP = Object.freeze({
  repoA: "https://github.com/example/repoA.git",
  repoB: "[email protected]:example/repoB.git",
});

// (옵션) URL 직접 입력을 받는 경우 허용 목록 검증 + '--' 사용
function isSafeRemote(candidate) {
  if (typeof candidate !== "string") return false;
  if (/^-/u.test(candidate)) return false; // '-'로 시작 금지
  if (/\s/u.test(candidate)) return false; // 공백/개행 금지
  if (/(--upload-pack|^-u\b)/u.test(candidate)) return false; // 위험 옵션 차단
  return /^(https:\/\/|ssh:\/\/|git@)[^\s]+\.git$/u.test(candidate);
}

app.get("/safe-ls-remote", (req, res) => {
  const key = String(req.query.key || "");
  const remote = REMOTE_MAP[key];
  if (!remote) {
    return res.status(400).send("invalid key");
  }

  // 옵션 경계 강제: '--' 뒤에 원격 인자를 둬서 옵션으로 해석되지 않도록 함
  execFile(
    "git",
    ["ls-remote", "--", remote],
    { timeout: 5000 },
    (err, stdout) => {
      if (err) return res.status(500).send("error");
      res.type("text/plain").send(stdout);
    }
  );
});

app.get("/validated-ls-remote", (req, res) => {
  const remote = String(req.query.remote || "");
  if (!isSafeRemote(remote)) return res.status(400).send("bad remote");
  execFile(
    "git",
    ["ls-remote", "--", remote],
    { timeout: 5000 },
    (err, stdout) => {
      if (err) return res.status(500).send("error");
      res.type("text/plain").send(stdout);
    }
  );
});

app.listen(3000);

설명:

취약한 코드: 사용자 입력을 검증 없이 git ls-remote의 원격 인자로 전달했습니다. 공격자는 '-'로 시작하는 값이나 '--upload-pack='를 넣어 git이 임의 실행 파일을 수행하도록 만들 수 있어 서버에서 임의 코드 실행이 가능합니다.
안전한 코드: - 사전 등록된 리모트 키만 받거나, 프로토콜/형식 기반 허용 목록으로 검증해 악성 인자를 차단했습니다.
'--'를 사용해 인자 경계를 명확히 하여, 원격 인자가 git 옵션으로 해석되지 않도록 했습니다.
타임아웃 등 방어적 옵션을 추가해 오남용 시 리스크를 추가로 줄였습니다.

참조

CWE-88

PreviouspostMessage 와일드카드 (origin) 사용 NextHost 헤더 오염(Host Header Poisoning)으로 인한 이메일 링크 변조

Last updated 2 months ago