🛡️ [CRITICAL] 관리자 아이디·비밀번호 하드코딩 자격증명 완전 제거

[seonghobae]

🚨 심각도: CRITICAL

취약점 설명

packages/web/src/lib/server/admin-auth.ts에 ADMIN_USERNAME과 ADMIN_PASSWORD 두 자격증명이 모두 소스 코드에 정적으로 하드코딩되어 있었습니다.

영향 범위

저장소 읽기 권한만 있어도 관리자 아이디·비밀번호를 그대로 획득하여 인증 없이 시스템 전체를 장악할 수 있습니다.

PR #3과의 차이점

PR #3은 비밀번호만 수정했으나, 이 PR은 관리자 아이디(ADMIN_USERNAME)까지 포함한 모든 자격증명을 환경변수로 이전합니다.

수정 내용

파일	변경 사항
packages/web/src/lib/server/admin-auth.ts	하드코딩된 username·password → env.ADMIN_USERNAME / env.ADMIN_PASSWORD
packages/web/src/lib/server/env.ts	ADMIN_USERNAME, ADMIN_PASSWORD zod 스키마 추가
packages/web/.env.example	두 환경변수 예시 추가
.github/workflows/ci.yml	CI 환경변수 검증 강화

배포 전 필수 조치

# .env 또는 호스팅 플랫폼 환경변수에 아래 추가
ADMIN_USERNAME=your-secure-username
ADMIN_PASSWORD=your-secure-password

⚠️ 기존에 노출된 자격증명을 사용 중이라면 즉시 변경하십시오.

[google-labs-jules]

👋 Jules, reporting for duty! I'm here to lend a hand with this pull request.

When you start a review, I'll add a 👀 emoji to each comment to let you know I've read it. I'll focus on feedback directed at me and will do my best to stay out of conversations between you and other bots or reviewers to keep the noise down.

I'll push a commit with your requested changes shortly after. Please note there might be a delay between these steps, but rest assured I'm on the job!

For more direct control, you can switch me to Reactive Mode. When this mode is on, I will only act on comments where you specifically mention me with @jules. You can find this option in the Pull Request section of your global Jules UI settings. You can always switch back!

New to Jules? Learn more at jules.google/docs.

---

For security, I will only act on instructions from the user who triggered this task.

[coderabbitai]

Warning

Review limit reached

@seonghobae, we couldn't start this review because you've reached your PR review rate limit.

More reviews will be available in 3 minutes and 39 seconds. Learn how PR review limits work.

Your organization has run out of usage credits. Purchase more in the billing tab.

⌛ How to resolve this issue?

After more reviews become available, a review can be triggered using the @coderabbitai review command as a PR comment. Alternatively, push new commits to this PR.

We recommend that you space out your commits to avoid hitting the rate limit.

🚦 How do rate limits work?

CodeRabbit enforces hourly rate limits for each developer per organization.

Our paid plans include higher PR review limits than trial, open-source, and free plans. In all cases, reviews become available again over time. During sustained high-volume PR review activity, CodeRabbit may temporarily slow when the next review becomes available.

Please see our Fair Usage Limits Policy for further information.

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: 6aba842d-c0cd-4303-a9e1-b67f2fa003c5

📥 Commits

Reviewing files that changed from the base of the PR and between 982d2de and bef3156.

📒 Files selected for processing (3)

• .gitignore
• packages/web/src/lib/server/admin-auth.ts
• packages/web/src/lib/server/env.ts

📝 Walkthrough

워크스루

하드코딩된 관리자 자격증명(ADMIN_USERNAME, ADMIN_PASSWORD)을 환경변수로 이동하고 EnvSchema 검증을 추가했으며, 관리자 인증 비교 로직을 PBKDF2 기반 파생 키와 timingSafeEqual를 이용해 변경했습니다. CI, .env 예시, 보안 센티널 문서도 함께 업데이트됩니다.

변경사항

관리자 자격증명 환경변수화

Layer / File(s)	요약
환경변수 스키마 검증 추가 packages/web/src/lib/server/env.ts	EnvSchema에 ADMIN_USERNAME과 ADMIN_PASSWORD 필드를 추가하여 환경변수 존재성과 최소 길이를 검증합니다.
관리자 인증 구현 및 비교 방식 변경 packages/web/src/lib/server/admin-auth.ts	하드코딩된 ADMIN_USERNAME/ADMIN_PASSWORD를 env로 대체하고, 비교 유틸을 재구성하여 비밀번호는 PBKDF2로 파생 키를 만들고 timingSafeEqual로 비교하도록 변경했습니다. username 및 세션/임퍼소네이션 토큰의 서명/프리픽스 비교도 timing-safe 방식으로 바뀌었습니다.
환경 설정, CI 워크플로우, 보안 문서 packages/web/.env.example, .github/workflows/ci.yml, .jules/sentinel.md	.env.example에 관리자 환경변수 예시를 추가하고, CI build 작업 env에 ADMIN_USERNAME/ADMIN_PASSWORD를 추가했으며 보안 센티널에 하드코딩 이슈 및 권장사항을 기록했습니다.

예상 코드 리뷰 노력

🎯 4 (Complex) | ⏱️ ~45 minutes

시

관리자 비밀은 숲에 숨기고,
토끼 귀로 속삭이며 옮겼네.
검증하고 길이 재어 비교하니,
안전한 밤하늘 빛나리라.
🐇✨

---

Caution

Pre-merge checks failed

Please resolve all errors before merging. Addressing warnings is optional.

• Ignore

❌ Failed checks (1 error)

Check name	Status	Explanation	Resolution
Docstring Coverage	❌ Error	Docstring coverage is 0.00% which is insufficient. The required threshold is 100.00%.	Write docstrings for the functions missing them to satisfy the coverage threshold.

✅ Passed checks (4 passed)

Check name	Status	Explanation
Linked Issues check	✅ Passed	Check skipped because no linked issues were found for this pull request.
Out of Scope Changes check	✅ Passed	Check skipped because no linked issues were found for this pull request.
Title check	✅ Passed	PR 제목이 변경 사항의 핵심을 명확하게 반영하고 있습니다. 하드코딩된 관리자 자격증명 제거라는 주요 변경사항을 정확히 설명합니다.
Description check	✅ Passed	PR 설명이 취약점, 영향 범위, 수정 내용, 배포 전 필수 조치를 명확하게 기술하며 변경사항과 직접 관련이 있습니다.

✨ Finishing Touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch fix/hardcoded-admin-credentials-8054597278288833568

✨ Simplify code

• Create PR with simplified code
• Commit simplified code in branch fix/hardcoded-admin-credentials-8054597278288833568

Warning

Billing warning: we have not been able to collect payment for this subscription for more than 72 hours. Please update the payment method or pay any pending invoices in Billing to avoid service interruption.

---

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[coderabbitai]

Actionable comments posted: 2

🤖 Prompt for all review comments with AI agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

Inline comments:
In @.jules/sentinel.md:
- Line 1: Update the document header date in the first line: replace the
hardcoded string "## 2024-05-29 - [CRITICAL] Fix hardcoded admin credentials"
with the correct change date "## 2026-05-29 - [CRITICAL] Fix hardcoded admin
credentials" (i.e., update the date portion of that header line to match the
actual change timestamp).

In `@packages/web/src/lib/server/env.ts`:
- Around line 8-9: The current env schema allows ADMIN_USERNAME to contain dots
(breaking session cookie parsing) and sets ADMIN_PASSWORD to min(1), which is
too weak; update the schema for ADMIN_USERNAME to disallow '.' and whitespace
(e.g., use a regex that forbids '.' and spaces) and tighten ADMIN_PASSWORD to a
stronger policy (e.g., minimum length 12 and a regex requiring at least one
uppercase, one lowercase, one digit, and one special character and no
leading/trailing whitespace) so validation in the ADMIN_USERNAME and
ADMIN_PASSWORD z.string() entries rejects unsafe values and enforces a robust
admin password policy.

🪄 Autofix (Beta)

Fix all unresolved CodeRabbit comments on this PR:

• Push a commit to this branch (recommended)
• Create a new PR with the fixes

---

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: 816796e2-f152-4ca8-b301-7eeee9049595

📥 Commits

Reviewing files that changed from the base of the PR and between 8640510 and 96322ae.

📒 Files selected for processing (5)

• .github/workflows/ci.yml
• .jules/sentinel.md
• packages/web/.env.example
• packages/web/src/lib/server/admin-auth.ts
• packages/web/src/lib/server/env.ts

[coderabbitai]

⚠️ Potential issue | 🟡 Minor | ⚡ Quick win

문서 날짜를 실제 변경 시점으로 맞춰 주세요.

Line 1의 2024-05-29는 이번 변경 맥락(2026년 5월 29일)과 맞지 않아 이력 추적 시 혼선을 줄 수 있습니다.

제안 패치

-## 2024-05-29 - [CRITICAL] Fix hardcoded admin credentials
+## 2026-05-29 - [CRITICAL] Fix hardcoded admin credentials

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	## 2024-05-29 - [CRITICAL] Fix hardcoded admin credentials
	## 2026-05-29 - [CRITICAL] Fix hardcoded admin credentials

🤖 Prompt for AI Agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

In @.jules/sentinel.md at line 1, Update the document header date in the first
line: replace the hardcoded string "## 2024-05-29 - [CRITICAL] Fix hardcoded
admin credentials" with the correct change date "## 2026-05-29 - [CRITICAL] Fix
hardcoded admin credentials" (i.e., update the date portion of that header line
to match the actual change timestamp).

[coderabbitai]

⚠️ Potential issue | 🟠 Major | ⚡ Quick win

환경변수 스키마 제약이 너무 약합니다.

Line 8은 .을 허용해 세션 쿠키 파싱(split('.'))을 깨뜨릴 수 있고, Line 9의 min(1)은 관리자 비밀번호 정책으로 너무 약합니다. 배포 시 관리자 로그인 장애/보안 저하를 막기 위해 스키마를 더 엄격히 제한해 주세요.

제안 패치

 const EnvSchema = z.object({
   DATABASE_URL: z.string().min(1),
   DIRECT_URL: z.string().min(1),
   JWT_SECRET: z.string().min(32),
-  ADMIN_USERNAME: z.string().min(1),
-  ADMIN_PASSWORD: z.string().min(1),
+  ADMIN_USERNAME: z
+    .string()
+    .min(3)
+    .regex(/^[A-Za-z0-9_-]+$/, 'ADMIN_USERNAME must not contain "." or spaces'),
+  ADMIN_PASSWORD: z.string().min(12),
 })

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	ADMIN_USERNAME: z.string().min(1),
	ADMIN_PASSWORD: z.string().min(1),
	ADMIN_USERNAME: z
	.string()
	.min(3)
	.regex(/^[A-Za-z0-9_-]+$/, 'ADMIN_USERNAME must not contain "." or spaces'),
	ADMIN_PASSWORD: z.string().min(12),

🤖 Prompt for AI Agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

In `@packages/web/src/lib/server/env.ts` around lines 8 - 9, The current env
schema allows ADMIN_USERNAME to contain dots (breaking session cookie parsing)
and sets ADMIN_PASSWORD to min(1), which is too weak; update the schema for
ADMIN_USERNAME to disallow '.' and whitespace (e.g., use a regex that forbids
'.' and spaces) and tighten ADMIN_PASSWORD to a stronger policy (e.g., minimum
length 12 and a regex requiring at least one uppercase, one lowercase, one
digit, and one special character and no leading/trailing whitespace) so
validation in the ADMIN_USERNAME and ADMIN_PASSWORD z.string() entries rejects
unsafe values and enforces a robust admin password policy.

[seonghobae]

@codex[agent] 리뷰하시오.

[google-labs-jules]

@codex[agent] 리뷰하시오.

Acknowledged.

[Codex]

@codex[agent] 리뷰하시오.

리뷰 반영했습니다. packages/web/src/lib/server/admin-auth.ts에서 CodeQL가 지적하던 SHA256 기반 해시 비교를 제거하고 timingSafeEqual 기반 문자열 비교로 변경했습니다. packages/web lint/typecheck/test도 통과했습니다. Commit: 4aa0a93

Warning

Firewall rules blocked me from connecting to one or more addresses (expand for details)

I tried to connect to the following addresses, but was blocked by firewall rules:

• checkpoint.prisma.io
  • Triggering command: /opt/hostedtoolcache/node/24.16.0/x64/bin/node /opt/hostedtoolcache/node/24.16.0/x64/bin/node /home/REDACTED/work/argos/argos/node_modules/.pnpm/prisma@6.19.3_typescript@5.9.3/node_modules/prisma/build/child {"product":"prisma","version":"6.19.3","cli_install_type":"local","information":"","local_timestamp":"2026-05-30T14:42:57Z","project_hash":"256f53da","cli_path":"/home/REDACTED/work/argos/argos/packages/web/node_modules/prisma/build/index.js","cli_path_hash (dns block)
• fonts.googleapis.com
  • Triggering command: /opt/hostedtoolcache/node/24.16.0/x64/bin/node /opt/hostedtoolcache/node/24.16.0/x64/bin/node /home/REDACTED/work/argos/argos/node_modules/.pnpm/next@15.5.15_@babel+core@7.29.0_react-dom@19.2.5_react@19.2.5__react@19.2.5/node_modules/next/dist/compiled/jest-worker/processChild.js (dns block)

If you need me to access, download, or install something from one of these locations, you can either:

• Configure Actions setup steps to set up my environment, which run before the firewall is enabled
• Add the appropriate URLs or hosts to the custom allowlist in this repository's Copilot cloud agent settings (admins only)

[seonghobae]

@codex[agent] 이 보안 수정 PR을 검토해 주세요:

1. 두 자격증명(ADMIN_USERNAME, ADMIN_PASSWORD) 모두 환경변수로 완전히 이전되었는지
2. PR #3과 코드 충돌 또는 중복 적용 가능성 검토
3. admin-auth.ts의 인증 로직에 타이밍 어택 취약점(상수 시간 비교 미적용)이 없는지

[google-labs-jules]

@codex[agent] 이 보안 수정 PR을 검토해 주세요:

1. 두 자격증명(ADMIN_USERNAME, ADMIN_PASSWORD) 모두 환경변수로 완전히 이전되었는지
2. PR #3과 코드 충돌 또는 중복 적용 가능성 검토
3. admin-auth.ts의 인증 로직에 타이밍 어택 취약점(상수 시간 비교 미적용)이 없는지

Acknowledged.

[Codex]

@codex[agent] 이 보안 수정 PR을 검토해 주세요:

1. 두 자격증명(ADMIN_USERNAME, ADMIN_PASSWORD) 모두 환경변수로 완전히 이전되었는지
2. PR #3과 코드 충돌 또는 ...

1. 현재 PR 기준으로 ADMIN_USERNAME, ADMIN_PASSWORD는 모두 환경변수로 이전되어 있습니다: /home/runner/work/argos/argos/packages/web/src/lib/server/env.ts에서 스키마로 강제하고, /home/runner/work/argos/argos/packages/web/src/lib/server/admin-auth.ts는 env.ADMIN_USERNAME/ADMIN_PASSWORD만 사용합니다. .env.example와 .github/workflows/ci.yml에도 플레이스홀더가 들어가 있고, 코드 내 하드코딩은 더 이상 검색되지 않습니다.

2. PR #3는 동일 취지의 중복 수정(같은 파일들 수정)이라 병합 시 충돌/중복 적용 가능성이 큽니다. PR #3는 ADMIN_SECRET(단일 비밀)로 바꾸고 ADMIN_USERNAME을 하드코딩('admin')하는 방향이라, 현재 PR의 ADMIN_USERNAME/ADMIN_PASSWORD 방식과 변수명이 다릅니다. 둘 중 하나의 접근으로 정리(하나를 close하거나, 하나를 기준으로 rebase/수정)하는 게 안전합니다.

3. admin-auth.ts 비교 로직은 상수시간 비교로 강화했습니다. 사용자명/쿠키 서명/프리픽스는 timingSafeEqual 기반 safeTimingEqual을 사용하고, 비밀번호는 pbkdf2Sync로 파생키(고정 길이)를 만든 뒤 timingSafeEqual로 비교해 타이밍 어택(및 빠른 brute force) 위험을 줄였습니다. Commit: d75a4e8, 982d2de

[coderabbitai]

Actionable comments posted: 2

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (1)

packages/web/src/lib/server/admin-auth.ts (1)

10-11: ⚠️ Potential issue | 🟠 Major | ⚡ Quick win

ADMIN_USERNAME 구분자 안정성 검증이 필요합니다.

Line 10-11에서 ADMIN_USERNAME이 . 포함 시, Line 72/96의 점(.) 기반 파싱 계약과 충돌해서 세션 쿠키/토큰 검증이 실패할 수 있습니다. 모듈 초기화 시 형식을 강제하거나(예: . 금지) 인코딩된 필드로 직렬화하세요.

🔧 제안 패치

 export const ADMIN_USERNAME = env.ADMIN_USERNAME
 export const ADMIN_PASSWORD = env.ADMIN_PASSWORD
+
+if (ADMIN_USERNAME.includes('.')) {
+  throw new Error('ADMIN_USERNAME must not contain "."')
+}

🤖 Prompt for AI Agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

In `@packages/web/src/lib/server/admin-auth.ts` around lines 10 - 11, The
ADMIN_USERNAME export can contain '.' which breaks the session/token parsing
that splits on '.'; update the module initialization to either validate and
reject/normalize ADMIN_USERNAME (e.g., throw or replace '.'), or export an
encoded form (e.g., base64 or url-encode) and ensure the rest of the code uses
that encoded constant for cookie/token creation and verification; change the
export of ADMIN_USERNAME (and corresponding usages that build/parse the session
cookie/token) so they use the validated or encoded value consistently, and keep
ADMIN_PASSWORD unchanged.

🤖 Prompt for all review comments with AI agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

Inline comments:
In `@packages/web/src/lib/server/admin-auth.ts`:
- Around line 44-52: safePasswordEqual currently uses synchronous pbkdf2Sync
with ADMIN_PASSWORD_KDF_ITERATIONS which blocks the event loop on each login;
replace the sync KDF with the async crypto.pbkdf2 (or offload to a worker) and
make safePasswordEqual return a Promise<boolean>, then update
verifyAdminCredentials to be async and await safePasswordEqual, and propagate
async changes to the POST() handler in route.ts so callers await the
verification; ensure you still compare the derived key against
adminPasswordDerivedKey using timingSafeEqual after deriving the key
asynchronously.
- Around line 30-41: The safeTimingEqual function allocates buffers based on the
larger input length which allows an attacker to send extremely long cookie/token
values and trigger DoS; update safeTimingEqual to first check and immediately
return false if the two input string byte lengths differ OR enforce a strict
upper bound on accepted length (e.g., refuse inputs longer than an explicit
MAX_SIGNATURE_LEN) so you avoid unbounded Buffer.alloc calls; apply this change
where safeTimingEqual is used (verifyAdminSessionCookie and
verifyAdminImpersonationToken) so inputs are validated/rejected before any
padding/allocation occurs.

---

Outside diff comments:
In `@packages/web/src/lib/server/admin-auth.ts`:
- Around line 10-11: The ADMIN_USERNAME export can contain '.' which breaks the
session/token parsing that splits on '.'; update the module initialization to
either validate and reject/normalize ADMIN_USERNAME (e.g., throw or replace
'.'), or export an encoded form (e.g., base64 or url-encode) and ensure the rest
of the code uses that encoded constant for cookie/token creation and
verification; change the export of ADMIN_USERNAME (and corresponding usages that
build/parse the session cookie/token) so they use the validated or encoded value
consistently, and keep ADMIN_PASSWORD unchanged.

🪄 Autofix (Beta)

Fix all unresolved CodeRabbit comments on this PR:

• Push a commit to this branch (recommended)
• Create a new PR with the fixes

---

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: a09a6d7e-f4cc-4bd9-a8b5-f9cfce0c449c

📥 Commits

Reviewing files that changed from the base of the PR and between 4aa0a93 and 982d2de.

📒 Files selected for processing (1)

• packages/web/src/lib/server/admin-auth.ts

[seonghobae]

@coderabbitai review

이 PR을 전체 검토해 주세요. 특히 다음 사항을 중점적으로 확인해 주시기 바랍니다:

• 코드 정확성 및 잠재적 버그
• 보안 취약점 여부
• 성능 영향
• 코딩 표준 및 best practice 준수 여부

[coderabbitai]

🧩 Analysis chain

🏁 Script executed:

#!/bin/bash
set -euo pipefail

echo "=== admin-auth.ts ==="
cat packages/web/src/lib/server/admin-auth.ts

echo ""
echo "=== env.ts ==="
cat packages/web/src/lib/server/env.ts

echo ""
echo "=== .env.example ==="
cat packages/web/.env.example

echo ""
echo "=== ci.yml ==="
cat .github/workflows/ci.yml

echo ""
echo "=== PR `#3` info ==="
gh pr view 3 --json title,body,state,files 2>/dev/null || echo "PR `#3` not accessible or not found"

Length of output: 8318

---

---

@seonghobae, 전체 리뷰 결과입니다. 주요 항목별로 정리했습니다.

---

1. 자격증명 환경변수 이전 여부 ✅ / ⚠️

ADMIN_USERNAME과 ADMIN_PASSWORD 모두 env.ADMIN_USERNAME / env.ADMIN_PASSWORD로 올바르게 이전되었습니다. EnvSchema에서 Zod 검증도 적용되어 있습니다.

그러나 다음 문제점이 있습니다:

• z.string().min(1) — ADMIN_PASSWORD 검증이 최소 1자만 요구합니다. 최소 12~16자 이상을 강제해야 합니다:

  // env.ts
  ADMIN_PASSWORD: z.string().min(16, 'ADMIN_PASSWORD must be at least 16 characters'),

• .env.example에서 ADMIN_USERNAME="admin" 사용 — 기본 예시가 "admin" 이므로 공격자에게 사용자명 힌트를 줍니다. 아래처럼 교체하는 것이 좋습니다:

  ADMIN_USERNAME="replace-with-your-admin-username"
  

• ADMIN_USERNAME / ADMIN_PASSWORD가 export로 노출됨 — 원시 자격증명을 다른 모듈로 내보낼 필요가 없습니다. ADMIN_USERNAME은 세션 쿠키 생성 로직 내에서만 사용하고, 외부에서 참조하는 곳이 있다면 대신 verifyAdminCredentials 등의 함수를 사용하도록 리팩토링하는 것이 권장됩니다.

---

2. PR #3과의 충돌/중복 가능성 ⚠️

PR #3도 현재 OPEN 상태이며, 같은 파일들을 수정합니다:

파일	PR #3	PR #7
packages/web/src/lib/server/admin-auth.ts	✅ 수정	✅ 수정
packages/web/src/lib/server/env.ts	✅ 수정	✅ 수정
packages/web/.env.example	✅ 수정	✅ 수정
.github/workflows/ci.yml	✅ 수정	✅ 수정
packages/web/src/app/api/admin/login/route.ts	✅ 수정	❌ 미수정

PR #3은 ADMIN_PASSWORD만 이전했고, PR #7은 ADMIN_USERNAME까지 추가로 이전했습니다. PR #7이 더 완전한 수정이지만, 두 PR을 동시에 merge하면 충돌이 발생합니다. PR #3을 먼저 close하고 PR #7만 진행하는 것을 권장합니다.

---

3. 타이밍 어택 취약점 🔴 (CRITICAL)

3-1. verifyAdminCredentials의 단락 평가(Short-circuit) 문제

// 현재 코드
export function verifyAdminCredentials(input: { username: string; password: string }): boolean {
  return (
    safeTimingEqual(input.username, ADMIN_USERNAME) &&  // ← 여기서 false면
    safePasswordEqual(input.password)                    // ← PBKDF2가 실행되지 않음!
  )
}

safeTimingEqual(username 비교, 빠름)이 false를 반환하면 JavaScript && 단락 평가로 인해 safePasswordEqual(PBKDF2, ~느림)이 호출되지 않습니다. 공격자가 응답 시간을 측정하면 올바른 username 여부를 구별할 수 있습니다.

수정 방법:

export function verifyAdminCredentials(input: { username: string; password: string }): boolean {
  // 두 비교를 항상 실행한 후 결합 — 단락 평가 금지
  const usernameMatch = safeTimingEqual(input.username, ADMIN_USERNAME)
  const passwordMatch = safePasswordEqual(input.password)  // 항상 실행됨
  return usernameMatch && passwordMatch
}

3-2. safeTimingEqual — 길이 누출

function safeTimingEqual(a: string, b: string): boolean {
  // ...
  const contentEqual = timingSafeEqual(aPadded, bPadded)
  return contentEqual && aBuf.length === bBuf.length  // ← 단락 평가
}

contentEqual이 false이면 aBuf.length === bBuf.length가 평가되지 않습니다. 하지만 길이 비교는 O(1)이므로 실질적 타이밍 위협은 낮습니다. 그래도 완전한 timing-safe를 위해:

function safeTimingEqual(a: string, b: string): boolean {
  const aBuf = Buffer.from(a, 'utf8')
  const bBuf = Buffer.from(b, 'utf8')
  const maxLen = Math.max(aBuf.length, bBuf.length)
  const aPadded = Buffer.alloc(maxLen)
  const bPadded = Buffer.alloc(maxLen)
  aBuf.copy(aPadded)
  bBuf.copy(bPadded)
  const contentEqual = timingSafeEqual(aPadded, bPadded)
  const lengthEqual = aBuf.length === bBuf.length ? 1 : 0  // 상수 시간으로 평가
  return (contentEqual ? 1 : 0) & lengthEqual ? true : false
}

3-3. safePasswordEqual — PBKDF2 설계 ✅ / ⚠️

PBKDF2(SHA-256, 210,000 iterations)를 사용하는 것은 좋습니다. 그러나:

• JWT_SECRET을 salt로 사용 — 두 시크릿을 결합하므로 JWT_SECRET을 교체하면 admin 로그인이 자동으로 깨집니다. 이를 알 수 있는 경고 메시지나 문서가 없습니다.
• pbkdf2Sync 모듈 로드 시 실행 — 서버 시작 시 이벤트 루프를 수백 ms 동안 블로킹합니다. 비동기 pbkdf2나 별도 초기화 함수 사용을 고려하세요.

---

4. 코드 정확성 / 추가 버그

• verifyAdminImpersonationToken에서 prefix 비교 순서 — 현재 prefix를 먼저 비교한 후 signature를 검증합니다. 이는 signature 검증 전에 prefix 값이 올바른지 알 수 있는 정보를 누출합니다. signature 검증을 먼저 수행하는 것이 더 안전합니다:

  // 권장 순서: signature 먼저 검증
  if (!safeTimingEqual(signature, sign(payload))) return null
  if (!safeTimingEqual(prefix, ADMIN_IMPERSONATION_PREFIX)) return null

  (현재도 safeTimingEqual을 사용하므로 실제 위험도는 낮으나, "fail fast on MAC" 원칙에 맞습니다.)

• verifyAdminSessionCookie에서도 동일한 순서 문제 — signature 검증 전에 parts.length !== 4 체크는 괜찮지만 signature를 username 이전에 검증하고 있어 ✅ 이 부분은 올바릅니다.

---

5. 요약

항목	심각도	상태
verifyAdminCredentials 단락 평가 타이밍 누출	🔴 High	수정 필요
PR #3과 병합 충돌 위험	🟠 Medium	PR #3 close 권장
ADMIN_PASSWORD 최소 길이 검증 약함 (min(1))	🟠 Medium	수정 필요
JWT_SECRET 회전 시 admin 로그인 묵시적 파괴	🟠 Medium	문서화 필요
pbkdf2Sync 모듈 로드 시 이벤트 루프 블로킹	🟡 Low	개선 고려
ADMIN_USERNAME / ADMIN_PASSWORD 불필요한 export	🟡 Low	리팩토링 고려
.env.example ADMIN_USERNAME 기본값 "admin"	🟡 Low	수정 권장
ADMIN_USERNAME, ADMIN_PASSWORD 환경변수 이전	✅ 완료	—
PBKDF2 기반 비밀번호 비교 (safePasswordEqual)	✅ 양호	—
CI 플레이스홀더 추가	✅ 완료	—

✅ Actions performed

Full review triggered.

[seonghobae]

추가로 fork PR #7의 CodeQL 차단 및 CodeRabbit 지적까지 반영했습니다.

변경 사항:

• ADMIN_PASSWORD를 HMAC으로 해싱해 비교하던 safeEqual 구현을 제거했습니다.
• 해시 없이 고정 길이(512 bytes) 버퍼에 복사한 뒤 timingSafeEqual로 비교하도록 변경했습니다.
• 입력이 512 bytes를 초과하면 즉시 거부하여 큰 입력으로 인한 Buffer allocation DoS를 방지했습니다.
• ADMIN_USERNAME에는 .를 허용하지 않도록 Zod 검증을 추가했습니다. 세션/impersonation 토큰이 . 구분자를 사용하므로 파싱 계약을 명확히 보장하기 위함입니다.
• ADMIN_PASSWORD 최대 길이도 safeEqual 상한과 맞춰 max(512)로 제한했습니다.

검증:

pnpm --filter @argos/shared build
AUTH_SECRET='ci-placeholder-secret-min-32-chars-here' \
JWT_SECRET='ci-placeholder-jwt-secret-min-32-chars' \
DATABASE_URL='postgresql://placeholder:placeholder@localhost:5432/placeholder' \
DIRECT_URL='postgresql://placeholder:placeholder@localhost:5432/placeholder' \
ADMIN_USERNAME='admin' \
ADMIN_PASSWORD='ci-placeholder-admin-password-min-16' \
pnpm --filter @argos/web build

로컬 검증을 통과했습니다. CodeQL 재실행 결과를 확인하겠습니다.

[seonghobae]

upstream PR vibemafiaclub/argos#19가 승인 및 머지되어 이 사전 작업 PR은 닫겠습니다. 추가로 fork CodeQL 실패도 최신 커밋에서 해결되어 모든 체크가 통과한 상태입니다. 감사합니다.