當應用程式中使用的庫和框架等元件幾乎總是以完全許可權執行時,就會發生這種威脅。如果利用易受攻擊的元件,則會使駭客的工作更容易導致嚴重的資料丟失或伺服器接管。
讓我們來了解這個漏洞的威脅代理,攻擊向量,安全弱點,技術影響和業務影響。
- 威脅代理 - 使用自動化工具識別和利用的框架。
- 攻擊者的方法 - 攻擊者通過掃描或手動分析識別元件。
- 安全弱點 - 識別所使用的元件是否在應用程式的深處變得更加複雜。
- 如何發現缺陷 - 當庫檔案位於應用程式的最頂層時更容易。越深層越變得困難。
- 技術影響 - 各種各樣的弱點可能包括注入,破壞存取控制xss等。影響可能從最小到資料洩露大到完全的主機接管。
- 業務影響 - 它可能是微不足道的,也可能意味著完全妥協。
範例
以下範例使用具有已知漏洞的元件 -
- 由於未能提供身份令牌,攻擊者可以通過完全許可權呼叫任何Web服務。
- 通過基於Java Spring框架的應用程式引入了具有表示式語言注入漏洞的遠端程式碼執行。
預防機制
- 識別Web應用程式中使用的所有元件和版本,而不僅限於資料庫/框架。
- 保持所有元件,如公共資料庫,專案郵寄清單等,保持最新。
- 在本質上易受攻擊的元件周圍新增安全包裝器。