# Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)

The product receives input from an upstream component, but it does not neutralize code syntax before using the input in a dynamic evaluation call.

- Prevalence: 높음 Shoulder 규칙 없음
- Impact: 높음 OWASP Top 10 #3
- Prevention: MITRE 참조 외부 참조

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

When user input is passed to eval() or similar functions without sanitization, attackers can inject arbitrary code that will be executed with the application's privileges.

## Prevention

## Consequences

- 승인되지 않은 코드 실행
- 애플리케이션 데이터 읽기
- 애플리케이션 데이터 수정

## Mitigations

- eval() 및 유사한 동적 코드 실행 함수의 사용을 피하세요
- 데이터 파싱에는 JSON.parse() 같은 더 안전한 대안을 사용하세요
- eval이 꼭 필요하다면 엄격한 입력 검증과 샌드박싱을 사용하세요