ส่วนประกอบที่มีช่องโหว่
ภัยคุกคามประเภทนี้เกิดขึ้นเมื่อส่วนประกอบต่างๆเช่นไลบรารีและเฟรมเวิร์กที่ใช้ภายในแอปมักจะทำงานด้วยสิทธิ์เต็มรูปแบบ หากส่วนประกอบที่มีช่องโหว่ถูกใช้ประโยชน์จะทำให้งานของแฮ็กเกอร์ง่ายขึ้นที่จะทำให้ข้อมูลสูญหายร้ายแรงหรือถูกยึดเซิร์ฟเวอร์
ขอให้เราเข้าใจตัวแทนภัยคุกคามผู้โจมตีจุดอ่อนด้านความปลอดภัยผลกระทบทางเทคนิคและผลกระทบทางธุรกิจของข้อบกพร่องนี้ด้วยความช่วยเหลือของแผนภาพง่ายๆ
ตัวอย่าง
ตัวอย่างต่อไปนี้คือการใช้ส่วนประกอบที่มีช่องโหว่ที่ทราบ -
ผู้โจมตีสามารถเรียกใช้บริการเว็บใดก็ได้โดยได้รับอนุญาตเต็มรูปแบบโดยการไม่ระบุโทเค็นประจำตัว
การเรียกใช้รหัสระยะไกลด้วยช่องโหว่การแทรกภาษา Expression ถูกนำมาใช้ผ่าน Spring Framework สำหรับแอปที่ใช้ Java
กลไกการป้องกัน
ระบุคอมโพเนนต์ทั้งหมดและเวอร์ชันที่ใช้ในเว็บแอพไม่ จำกัด เฉพาะฐานข้อมูล / เฟรมเวิร์ก
อัปเดตส่วนประกอบทั้งหมดเช่นฐานข้อมูลสาธารณะรายชื่อส่งเมลของโครงการเป็นต้น
เพิ่มตัวป้องกันความปลอดภัยรอบ ๆ ส่วนประกอบที่มีความเสี่ยง