Các thành phần có lỗ hổng
Loại mối đe dọa này xảy ra khi các thành phần như thư viện và khuôn khổ được sử dụng trong ứng dụng hầu như luôn thực thi với đầy đủ các đặc quyền. Nếu một thành phần dễ bị tấn công bị khai thác, nó sẽ khiến công việc của hacker dễ dàng hơn gây ra mất mát dữ liệu nghiêm trọng hoặc chiếm quyền sử dụng máy chủ.
Hãy cho chúng tôi hiểu Tác nhân đe dọa, Vectơ tấn công, Điểm yếu về bảo mật, Tác động kỹ thuật và Tác động kinh doanh của lỗ hổng này với sự trợ giúp của sơ đồ đơn giản.
Thí dụ
Các ví dụ sau đây về việc sử dụng các thành phần có lỗ hổng bảo mật đã biết:
Những kẻ tấn công có thể gọi bất kỳ dịch vụ web nào với đầy đủ quyền bằng cách không cung cấp mã thông báo nhận dạng.
Thực thi mã từ xa với lỗ hổng chèn ngôn ngữ biểu thức được giới thiệu thông qua Spring Framework cho các ứng dụng dựa trên Java.
Cơ chế phòng ngừa
Xác định tất cả các thành phần và các phiên bản đang được sử dụng trong ứng dụng web không chỉ giới hạn trong cơ sở dữ liệu / khuôn khổ.
Luôn cập nhật tất cả các thành phần như cơ sở dữ liệu công cộng, danh sách gửi thư dự án, v.v.
Thêm trình bao bọc bảo mật xung quanh các thành phần dễ bị tấn công.