Unix 유틸리티에 숨겨진 쉘 인젝션 취약성
2025-06-10
많은 Unix 유틸리티는 외부 명령을 실행하기 위해 `system(3)` 함수를 사용하며, 이는 쉘 인젝션 취약성으로 이어질 수 있습니다. 이 글에서는 이 문제를 자세히 분석하여 `system(3)`, `sh -c`, `watch`, `ssh`, `i3` 등 여러 도구의 동작을 살펴보고, 쉘 메타 문자를 사용하여 보안 조치를 우회하는 방법을 보여줍니다. 저자는 `system(3)` 사용을 피하고 `exec --` 사용 및 적절한 따옴표와 이스케이핑과 같은 완화 기법을 제시합니다. 결론적으로, 이 글은 개발자들에게 이러한 도구의 보안 결함을 해결할 것을 촉구합니다.
더 보기
개발
쉘 인젝션