신뢰할 수 없는 JavaScript 코드 실행
중요: 이것은 JavaScript 및 TypeScript 코드 실행에만 해당됩니다. 즉, 글을 쓰는 것이 다른 언어에서 다른 코드를 실행하는 방향이 될 수도 있습니다.
사용자가 애플리케이션 내에서 코드를 실행할 수 있도록 허용하면 사용자 정의 및 기능의 세계가 열리지만 동시에 플랫폼이 심각한 보안 위협에 노출됩니다.
사용자 코드인 점을 고려하면 서버 정지(무한 루프일 수 있음)부터 민감한 정보 도용까지 모든 것이 예상됩니다.
이 기사에서는 웹 워커, 정적 코드 분석 등을 포함하여 사용자 코드 실행을 완화하기 위한 다양한 전략을 살펴보겠습니다.
당신은 관심을 가져야합니다
CodeSandbox 및 StackBiltz와 같은 공동 개발 환경부터 January와 같은 사용자 정의 가능한 API 플랫폼에 이르기까지 사용자 제공 코드를 실행해야 하는 시나리오는 많습니다. 코드 플레이그라운드도 위험에 노출되어 있습니다.
즉, 사용자 제공 코드를 안전하게 실행하는 데 있어 두 가지 중요한 이점은 다음과 같습니다.
- 사용자의 신뢰 얻기: 사용자가 신뢰할 만하더라도 의도적으로 악의적인 사람이 복사한 코드를 실행할 수 있습니다.
- 환경 보호: 마지막으로 필요한 것은 서버를 정지시키는 코드입니다. 생각하는 동안(true) {}
"민감한 정보"를 정의하세요
일부 데이터가 도난당할 수 있다는 우려가 있을 때까지 사용자 코드를 실행하는 것은 해롭지 않습니다. 귀하가 우려하는 모든 데이터는 민감한 정보로 간주됩니다. 예를 들어 대부분의 경우 JWT는 민감한 정보입니다(아마도 인증 메커니즘으로 사용되는 경우)
무엇이 잘못될 수 있나요?
모든 요청과 함께 전송되는 쿠키에 저장된 JWT의 잠재적 위험을 고려하세요. 사용자가 JWT를 악의적인 서버로 보내는 요청을 실수로 트리거할 수 있으며...
- 교차 사이트 스크립팅(XSS).
- 서비스 거부(DoS) 공격.
- 데이터 유출. 적절한 보호 장치가 없으면 이러한 위협으로 인해 애플리케이션의 무결성과 성능이 손상될 수 있습니다.
행동 양식
사악한 평가
가장 단순하지만 가장 위험합니다.
eval('console.log("I am dangerous!")');
이 코드를 실행하면 해당 메시지가 기록됩니다. 기본적으로 eval은 전역/창 범위에 액세스할 수 있는 JS 인터프리터입니다.
const res = await eval('fetch(`https://jsonplaceholder.typicode.com/users`)');
const users = await res.json();
이 코드는 전역 범위에 정의된 가져오기를 사용합니다. 인터프리터는 이에 대해 모르지만 eval이 창에 액세스할 수 있으므로 알고 있습니다. 이는 브라우저에서 평가판을 실행하는 것이 서버 환경이나 작업자에서 실행하는 것과 다르다는 것을 의미합니다.
eval(`document.body`);
이건 어때요...
eval(`while (true) {}`);
이 코드는 브라우저 탭을 중지합니다. 사용자가 왜 스스로에게 이런 짓을 하는지 물을 수도 있습니다. 글쎄, 그들은 인터넷에서 코드를 복사하고 있을 수도 있습니다. 이것이 바로 정적 분석을 수행하거나 실행 시간을 제한하는 것이 선호되는 이유입니다.
평가에 관한 MDN Docs를 확인해 보세요
타임박스 실행은 웹 워커에서 코드를 실행하고 setTimeout을 사용해 실행 시간을 제한하는 방식으로 수행할 수 있습니다.
async function timebox(code, timeout = 5000) {
const worker = new Worker('user-runner-worker.js');
worker.postMessage(code);
const timerId = setTimeout(() => {
worker.terminate();
reject(new Error('Code execution timed out'));
}, timeout);
return new Promise((resolve, reject) => {
worker.onmessage = event => {
clearTimeout(timerId);
resolve(event.data);
};
worker.onerror = error => {
clearTimeout(timerId);
reject(error);
};
});
}
await timebox('while (true) {}');
함수 생성자
eval과 비슷하지만, 바깥쪽 스코프에 접근할 수 없기 때문에 좀 더 안전합니다.
const userFunction = new Function('param', 'console.log(param);');
userFunction(2);
이 코드는 2를 기록합니다.
참고: 두 번째 인수는 함수 본문입니다.
함수 생성자가 바깥쪽 범위에 액세스할 수 없으므로 다음 코드에서 오류가 발생합니다.
function fnConstructorCannotUseMyScope() {
let localVar = 'local value';
const userFunction = new Function('return localVar');
return userFunction();
}
하지만 전역 범위에 액세스할 수 있으므로 위의 가져오기 예시가 작동합니다.
웹워커
WebWorker에서 "Function Constructor 및 eval"을 실행할 수 있는데, 이는 DOM 액세스가 없기 때문에 조금 더 안전합니다.
더 많은 제한을 적용하려면 fetch, XMLHttpRequest, sendBeacon과 같은 전역 개체 사용을 허용하지 않는 것이 좋습니다. 이를 수행하는 방법에 대해서는 이 글을 확인하세요.
격리된 VM
Isolated-VM은 별도의 VM(v8의 Isolate 인터페이스)에서 코드를 실행할 수 있는 라이브러리입니다
import ivm from 'isolated-vm';
const code = `count += 5;`;
const isolate = new ivm.Isolate({ memoryLimit: 32 /* MB */ });
const script = isolate.compileScriptSync(code);
const context = isolate.createContextSync();
const jail = context.global;
jail.setSync('log', console.log);
context.evalSync('log("hello world")');
이 코드는 hello world를 기록합니다
웹어셈블리
코드 실행을 위한 샌드박스 환경을 제공한다는 점에서 흥미로운 옵션입니다. 한 가지 주의할 점은 Javascript 바인딩이 있는 환경이 필요하다는 것입니다. 그러나 Extism이라는 흥미로운 프로젝트가 이를 촉진합니다. 튜토리얼을 따라해 보세요.
흥미로운 점은 코드를 실행하기 위해 공기압을 사용한다는 것입니다. 그러나 WebAssembly의 특성상 DOM, 네트워크, 파일 시스템 및 호스트 환경에 대한 액세스가 불가능합니다(물론 환경에 따라 다를 수 있음). wasm 런타임).
function evaluate() {
const { code, input } = JSON.parse(Host.inputString());
const func = eval(code);
const result = func(input).toString();
Host.outputString(result);
}
module.exports = { evaluate };
You'll have to compile the above code first using Extism, which will output a Wasm file that can be run in an environment that has Wasm-runtime (browser or node.js).
const message = {
input: '1,2,3,4,5',
code: `
const sum = (str) => str
.split(',')
.reduce((acc, curr) => acc + parseInt(curr), 0);
module.exports = sum;
`,
};
// continue running the wasm file
Docker
We're now moving to the server-side, Docker is a great option to run code in an isolation from the host machine. (Beware of container escape)
You can use dockerode to run the code in a container.
import Docker from 'dockerode';
const docker = new Docker();
const code = `console.log("hello world")`;
const container = await docker.createContainer({
Image: 'node:lts',
Cmd: ['node', '-e', code],
User: 'node',
WorkingDir: '/app',
AttachStdout: true,
AttachStderr: true,
OpenStdin: false,
AttachStdin: false,
Tty: true,
NetworkDisabled: true,
HostConfig: {
AutoRemove: true,
ReadonlyPaths: ['/'],
ReadonlyRootfs: true,
CapDrop: ['ALL'],
Memory: 8 * 1024 * 1024,
SecurityOpt: ['no-new-privileges'],
},
});
Keep in mind that you need to make sure the server has docker installed and running. I'd recommend having a separate server dedicated only to this that acts as a pure-function server.
Moreover, you might benefit from taking a look at sysbox, a VM-like container runtime that provides a more secure environment. Sysbox is worth it, especially if the main app is running in a container, which means that you'll be running Docker in Docker.
This was the method of choice at January but soon enough, the language capabilities mandated more than passing the code through the container shell. Besides, for some reason, the server memory spikes frequently; we run the code inside self-removable containers on every 1s debounced keystroke. (You can do better!)
Other options
- Web Containers
- MicroVM (Firecraker)
- Deno subhosting
- Wasmer
- ShadowRealms
Safest option
I'm particularly fond of Firecracker, but it’s a bit of work to set up, so if you cannot afford the time yet, you want to be on the safe side, do a combination of static analysis and time-boxing execution. You can use esprima to parse the code and check for any malicious act.
How to run TypeScript code?
Well, same story with one (could be optional) extra step: Transpile the code to JavaScript before running it. Simply put, you can use esbuild or typescript compiler, then continue with the above methods.
async function build(userCode: string) {
const result = await esbuild.build({
stdin: {
contents: `${userCode}`,
loader: 'ts',
resolveDir: __dirname,
},
inject: [
// In case you want to inject some code
],
platform: 'node',
write: false,
treeShaking: false,
sourcemap: false,
minify: false,
drop: ['debugger', 'console'],
keepNames: true,
format: 'cjs',
bundle: true,
target: 'es2022',
plugins: [
nodeExternalsPlugin(), // make all the non-native modules external
],
});
return result.outputFiles![0].text;
}
Notes:
- Rust-based bundlers usually offer a web assembly version, which means you can transpile the code in the browser. Esbuild does have a web assembly version.
- Don't include user specified imports into the bundle unless you've allow-listed them.
Additionally, you can avoid transpiling altogether by running the code using Deno or Bun in a docker container since they support TypeScript out of the box.
Conclusion
Running user code is a double-edged sword. It can provide a lot of functionality and customization to your platform, but it also exposes you to significant security risks. It’s essential to understand the risks and take appropriate measures to mitigate them and remember that the more isolated the environment, the safer it is.
References
- January instant compilation
- Running untrusted JavaScript in Node.js
- How do languages support executing untrusted user code at runtime?
- Safely Evaluating JavaScript with Context Data
위 내용은 신뢰할 수 없는 JavaScript 코드 실행의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
Python vs. JavaScript : 학습 곡선 및 사용 편의성
Apr 16, 2025 am 12:12 AM
Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.
C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지
Apr 14, 2025 am 12:05 AM
C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.
JavaScript 및 웹 : 핵심 기능 및 사용 사례
Apr 18, 2025 am 12:19 AM
웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.
자바 스크립트 행동 : 실제 예제 및 프로젝트
Apr 19, 2025 am 12:13 AM
실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.
JavaScript 엔진 이해 : 구현 세부 사항
Apr 17, 2025 am 12:05 AM
보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.
Python vs. JavaScript : 커뮤니티, 라이브러리 및 리소스
Apr 15, 2025 am 12:16 AM
Python과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.
Python vs. JavaScript : 개발 환경 및 도구
Apr 26, 2025 am 12:09 AM
개발 환경에서 Python과 JavaScript의 선택이 모두 중요합니다. 1) Python의 개발 환경에는 Pycharm, Jupyternotebook 및 Anaconda가 포함되어 있으며 데이터 과학 및 빠른 프로토 타이핑에 적합합니다. 2) JavaScript의 개발 환경에는 Node.js, VScode 및 Webpack이 포함되어 있으며 프론트 엔드 및 백엔드 개발에 적합합니다. 프로젝트 요구에 따라 올바른 도구를 선택하면 개발 효율성과 프로젝트 성공률이 향상 될 수 있습니다.
JavaScript 통역사 및 컴파일러에서 C/C의 역할
Apr 20, 2025 am 12:01 AM
C와 C는 주로 통역사와 JIT 컴파일러를 구현하는 데 사용되는 JavaScript 엔진에서 중요한 역할을합니다. 1) C는 JavaScript 소스 코드를 구문 분석하고 추상 구문 트리를 생성하는 데 사용됩니다. 2) C는 바이트 코드 생성 및 실행을 담당합니다. 3) C는 JIT 컴파일러를 구현하고 런타임에 핫스팟 코드를 최적화하고 컴파일하며 JavaScript의 실행 효율을 크게 향상시킵니다.
