위험한 동적 메서드 접근에 의한 코드 주입

Code Injection via Unsafe Dynamic Method Access

설명

사용자 입력으로 결정된 문자열을 전역 객체(window/globalThis/global)의 프로퍼티 키로 사용해 함수를 호출하면, 의도치 않게 eval 또는 Function 생성자 같은 위험한 함수를 실행할 수 있습니다. 전역 객체에는 eval과 Function이 노출되어 있고, 이들을 호출하면 임의 코드가 실행됩니다. 예를 들어 사용자가 name=eval 또는 name=Function 을 전달하면 windowname 또는 globalThisname 호출이 곧바로 코드 실행으로 이어집니다. 공격자는 이를 이용해 악성 스크립트 실행, 민감 정보 접근, 시스템 명령 실행(서버 환경) 등을 수행할 수 있습니다.

잠재적 영향

원격 코드 실행(RCE): 전역 객체의 eval/Function 호출을 유도해 임의 JavaScript 코드를 실행할 수 있습니다.
데이터 유출: 실행된 코드로 쿠키, 토큰, 환경변수 등 민감 정보를 읽고 외부로 전송할 수 있습니다.
데이터 변조/권한 남용: 애플리케이션 상태 변경, 관리자 기능 호출 등 권한 외 동작을 수행할 수 있습니다.
서비스 거부(DoS): 무한 루프나 대량 연산 코드를 실행해 자원을 고갈시킬 수 있습니다.

해결 방법

전역 객체(window/globalThis/global)나 함수 객체에 대해 사용자 입력으로 메서드 이름을 동적 호출하지 않습니다.
허용 목록(allowlist) 기반 디스패치: 전용 API 객체 또는 Map에 허용된 함수만 등록하고, Object.hasOwn(Object.create(null)로 생성) 등으로 키를 검증 후 호출합니다.
기본 거부(default deny): 목록에 없는 이름은 즉시 거부하고, 안전한 기본 동작을 사용합니다.
eval/Function 금지: JSON 파싱, 명시적 조건 분기, 안전한 API 맵 등 대체 수단을 사용합니다. ESLint(no-eval, no-implied-eval)처럼 정적 분석 규칙을 적용합니다.
방어 심화: 브라우저에서는 CSP에서 'unsafe-eval'을 금지하고, Node.js에서는 가능하면 V8 옵션(--disallow-code-generation-from-strings)과 런타임/빌드 정책으로 코드 생성 함수를 차단합니다.

취약한 코드 및 안전한 코드 예시

취약한 코드

// Browser 예시
// URL 해시값(# 뒤)을 함수 이름으로 받아 전역 객체에서 호출
// 예: https://site.example/#eval -> window["eval"]("alert('pwned')") 실행
window.addEventListener('load', () => {
  const name = location.hash.slice(1); // 사용자 제어
  window[name]("alert('pwned')"); // 취약: eval/Function 호출 가능
});

// Node.js (Express) 예시
const express = require('express');
const app = express();
app.get('/do', (req, res) => {
  const action = req.query.action; // 사용자 제어
  // 예: /do?action=eval -> 임의 코드 실행
  globalThis[action]("require('fs').readFileSync('/etc/hosts','utf8')"); // 취약
  res.send('done');
});

안전한 코드

// 안전한 디스패치: 전용 API 객체 + 허용 목록 + 키 검증
// Object.create(null)로 프로토타입 체인을 제거하여 hasOwn 검증을 신뢰 가능하게 함
const API = Object.create(null);
API.ping = (d) => 'pong';
API.upper = (d) => String(d || '').toUpperCase();

function callApi(name, data){
  // 키 검증: 존재 여부 + 타입 확인
  if (!Object.hasOwn(API, name) || typeof API[name] !== 'function') {
    throw new Error('invalid action');
  }
  return API[name](data);
}

// Browser 예시
window.addEventListener('load', () => {
  const name = new URL(location.href).searchParams.get('action');
  try {
    const result = callApi(name, 'hello');
    console.log(result);
  } catch (e) {
    console.warn('blocked');
  }
});

// Node.js (Express) 예시
const express = require('express');
const app = express();
app.get('/do', (req, res) => {
  try {
    const result = callApi(req.query.action, req.query.data);
    res.json({ ok: true, result });
  } catch {
    res.status(400).json({ ok: false, error: 'invalid action' });
  }
});

설명:

취약한 코드: 사용자 입력을 전역 객체의 프로퍼티 키로 사용해 함수를 동적으로 호출하고 있습니다. 공격자가 name/action 값을 eval 또는 Function 으로 지정하면, 전달된 문자열이 즉시 코드로 실행되어 임의 코드 실행(RCE)이 발생합니다. 단순 입력 필터링이나 이스케이프는 함수 선택 자체를 막지 못하므로 근본적인 방어가 되지 않습니다.
안전한 코드: 전역 객체를 전혀 사용하지 않고, 전용 API 컨테이너에 허용된 함수만 등록한 뒤 Object.hasOwn과 typeof로 키와 타입을 검증합니다. 목록에 없는 이름은 기본 거부하며, 프로토타입 체인을 제거(Object.create(null))해 우회 가능성을 낮췄습니다. 이로써 사용자가 임의의 eval/Function 등 위험한 함수를 선택해 실행하는 경로가 제거됩니다.

참조

CWE-94

Previous검증되지 않은 서버측 URL 리다이렉트 (Open Redirect)Next신뢰할 수 없는 출처의 웹 기능 포함

Last updated 2 months ago