서버 측 코드 인젝션 (Ruby)

대상 애플리케이션이 Ruby 코드 인젝션에 취약한지 확인하고 조치 방법을 안내합니다.

설명 # 대상 애플리케이션에서 코드 인젝션 취약점이 발견되었습니다. 악의적인 공격자가 서버에서 실행될 임의의 Ruby 코드를 삽입할 수 있습니다. 이로 인해 저장된 비밀 정보 접근, 계정 탈취를 위한 코드 삽입, OS 명령 실행 등을 통해 시스템 전체가 침해될 수 있습니다. 조치 방법 # eval , send , public_send , instance_eval , class_eval 과 같이 문자열 데이터를 코드로 평가하는 함수에 사용자 입력을 직접 전달하지 마십시오. 이러한 메서드에 문자열 값을 전달하는 것은 거의 이점이 없으므로, 사용자 입력으로 동적 로직을 평가하는 현재 구현을 보다 안전한 방식으로 교체하는 것이 최선의 권장 사항입니다. send 또는 public_send 를 사용하는 경우, 첫 번째 인수가 알려진 하드코딩된 메서드나 심볼이어야 하며 사용자 입력에서 유래하지 않도록 하십시오. eval , instance_eval , class_eval 의 경우, 사용자 입력을