[Bug] 코드 작성 시 eval, exec 등 사용 가능으로 보안 취약점 발견 #600
Description
문제 설명
eval() is evil;
현재 코드플레이스에서 문제를 풀 때 코드 작성 시 eval, exec, subprocess, os 와 같은 시스템 함수 혹은 보안 취얌점을 야기할 가능성이 있는 함수가 작성이 가능합니다.
재현 방법
문제 - 3202번 문제 더하기 빼기 계산기 - 코드 작성
logic = """
s = input()
print(eval(s))
"""
exec(logic)예상 vs 실제 동작
예상
문제에서 입력으로 2018+7+27-2000-1-5이 들어온다면 s = input(); print(eval(s)) 을 실행했을 때 컴파일 에러가 리턴 되어야 합니다.
실제
eval함수가 실행되어 결과값인 46이 출력되어 Accepted가 됩니다.
환경 및 증거 자료
Acceptance Criteria
- eval, exec 등 작성 시 클라우드 혹은 코드 부분에서 선제적으로 인식할 수 없게 조치
- 외부로 나가는 api요청 차단을 통한 저지 서버 외 서버 접근 차단