Security-testing-components-with-vulnerabilities
提供:Dev Guides
脆弱性のあるコンポーネント
この種の脅威は、アプリ内で使用されるライブラリやフレームワークなどのコンポーネントがほぼ常に完全な権限で実行される場合に発生します。 脆弱なコンポーネントが悪用されると、ハッカーの仕事が深刻なデータ損失やサーバー乗っ取りを引き起こしやすくなります。
単純な図を使用して、この欠陥の脅威エージェント、攻撃ベクトル、セキュリティの弱さ、技術的影響、ビジネスへの影響を理解しましょう。
using_components_with_known_vulnerabilities
例
次の例は、既知の脆弱性を持つコンポーネントを使用するものです-
- 攻撃者は、IDトークンの提供に失敗することにより、完全な許可でWebサービスを呼び出すことができます。
- Expression Languageインジェクションの脆弱性を使用したリモートコード実行は、JavaベースのアプリのSpring Frameworkを通じて導入されます。
予防メカニズム
- データベース/フレームワークだけに制限されているのではなく、webappsで使用されているすべてのコンポーネントとバージョンを特定します。
- パブリックデータベース、プロジェクトメーリングリストなどのすべてのコンポーネントを保持します。 最新の。
- 本質的に脆弱なコンポーネントの周りにセキュリティラッパーを追加します。