React Server Components, DoS 공격 및 소스 코드 유출 주의!
by DD
5개월 전
조회수 28
React Server Components에서 DoS(Denial of Service) 및 소스 코드 노출 취약점 발견
악의적인 요청으로 서버를 무한 루프에 빠뜨리거나 소스 코드를 유출 가능
react-server-dom-webpack 등 패키지 업데이트를 통해 취약점 패치 완료
DoS 공격 원리: 무한 루프
React Server Components의 취약한 부분은 악의적인 요청을 통해 무한 루프를 유발하는 것이다. 구체적으로, 서버 함수를 역직렬화하는 과정에서 특정 입력값에 의해 CPU 사용량이 급증한다. 따라서 공격자는 서버의 가용성을 저해하고 서비스 중단을 유발할 수 있다.
소스 코드 노출: 보안 키 유출 위험
취약한 Server Function은 소스 코드를 노출하여 보안 키와 같은 민감 정보를 유출할 수 있다. 문자열화된 인자를 통해 공격자가 소스 코드를 획득할 수 있기 때문이다. 반면, 런타임 환경 변수는 영향을 받지 않으므로, 환경 변수 관리가 중요하다.
패치 적용 및 대응 방안
발견된 취약점은 react-server-dom-webpack 등 특정 패키지 버전에서 발생한다. 따라서, 최신 버전으로 업데이트하여 문제를 해결해야 한다. 구체적으로, react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 패키지를 최신 버전으로 업데이트하여 보안 취약점을 해결해야 한다.
