Компоненты с уязвимостями

Этот вид угрозы возникает, когда компоненты, такие как библиотеки и фреймворки, используемые в приложении, почти всегда выполняются с полными привилегиями. Если уязвимый компонент используется, это облегчает работу хакера, вызывая серьезную потерю данных или захват сервера.

Давайте разберемся с агентами угроз, векторами атак, слабостями безопасности, техническим воздействием и последствиями для бизнеса этой уязвимости с помощью простой диаграммы.

пример

Следующие примеры используют компоненты с известными уязвимостями:

  • Злоумышленники могут вызвать любую веб-службу с полным разрешением, не предоставив токен идентификации.

  • Удаленное выполнение кода с уязвимостью внедрения языка выражений вводится через Spring Framework для приложений на основе Java.

Профилактические механизмы

  • Определите все компоненты и версии, которые используются в веб-приложениях, а не только в базах данных / фреймворках.

  • Поддерживайте в актуальном состоянии все компоненты, такие как общедоступные базы данных, списки рассылки проектов и т. Д.

  • Добавьте защитные оболочки вокруг уязвимых по своей природе компонентов.