1 month ago
16
이 취약점은 해커가 AWS 같은 클라우드 서버의 관리자 권한을 탈취할 수 있게 만드는 치명적인 버그입니다.
공격의 연쇄 작용 (Chain): 이 공격은 Axios 단독으로 발생하지 않습니다. 여러분의 프로젝트에 설치된 다른 라이브러리에 취약점(프로토타입 오염) 이 있을 경우, 해커가 이를 징검다리 삼아 Axios를 무기(Gadget)처럼 활용합니다.
헤더 주입 및 요청 밀반입 (Request Smuggling): 해커가 특수한 줄바꿈 문자(\r\n)를 악용하면, 개발자가 작성한 안전한 Axios 요청 코드 뒤에 해커가 만든 악성 요청을 몰래 숨겨서 같이 보낼 수 있습니다. (Axios가 헤더의 줄바꿈 문자를 제대로 필터링하지 않아서 발생합니다.)
치명적인 결과: 해커는 이 숨겨진 요청을 클라우드 내부망(AWS 메타데이터 서비스)으로 보내 클라우드 보안 장치(IMDSv2)를 우회하고, 클라우드 계정 전체를 통제할 수 있는 인증키(IAM 자격 증명)를 훔쳐낼 수 있습니다.
![[사설] ‘AI 괴물 해커’ 등장, 북한이 가장 관심 있을 것](https://www.chosun.com/resizer/v2/4VXZD5TPHZJIXRV5YQ4T2ETGLQ.jpg?auth=67f6c152837c4859d2d377d7790c043d6ead2ef97e5bc8589c6f83789aa94a72&smart=true&width=720&height=532)
![[천자칼럼] 인간 이긴 로봇 마라토너](https://static.hankyung.com/img/logo/logo-news-sns.png?v=20201130){kind=logo}
English (US) · 