脆弱性のあるコンポーネント

この種の脅威は、アプリ内で使用されるライブラリやフレームワークなどのコンポーネントがほぼ常に完全な権限で実行される場合に発生します。 脆弱なコンポーネントが悪用されると、ハッカーの仕事が深刻なデータ損失やサーバー乗っ取りを引き起こしやすくなります。

単純な図を使用して、この欠陥の脅威エージェント、攻撃ベクトル、セキュリティの弱さ、技術的影響、ビジネスへの影響を理解しましょう。

using_components_with_known_vulnerabilities

例

次の例は、既知の脆弱性を持つコンポーネントを使用するものです-

• 攻撃者は、IDトークンの提供に失敗することにより、完全な許可でWebサービスを呼び出すことができます。
• Expression Languageインジェクションの脆弱性を使用したリモートコード実行は、JavaベースのアプリのSpring Frameworkを通じて導入されます。

予防メカニズム

• データベース/フレームワークだけに制限されているのではなく、webappsで使用されているすべてのコンポーネントとバージョンを特定します。
• パブリックデータベース、プロジェクトメーリングリストなどのすべてのコンポーネントを保持します。 最新の。
• 本質的に脆弱なコンポーネントの周りにセキュリティラッパーを追加します。